Au même titre que les entreprises et les hôpitaux, les collectivités sont régulièrement ciblées par des cyberattaques. Les plus petites communes sont celles qui présentent le plus de faiblesses face au risque cyber. Pourquoi sont-elles ciblées ? Quelles peuvent être les conséquences ? Comment sont-elles soutenues pour améliorer leur protection ?

C’est une (très) longue litanie qui s’est accélérée avec la crise sanitaire. Comme pour les entreprises et les hôpitaux, depuis 2020, nombre de collectivités publiques sont ciblées par des cyberattaques. Des mairies, des conseils départementaux, des métropoles, des régions… Aucune collectivité, quelle que soit sa taille, n’est épargnée. 

La Région Grand Est, l’agglomération du Grand Cognac, la Métropole Aix-Marseille-Provence, la Métropole d’Orléans, le conseil départemental d’Eure-et-Loir, la Ville de Vincennes à l’automne 2020. Plus récemment, la mairie de Saumur en mars 2022, le conseil départemental de l’Ardèche en avril 2022, puis le conseil départemental d’Indre-et-Loire en juillet 2022… Dans le flot continu des cyberattaques touchant les collectivités, difficile de tenir une « comptabilité » à jour et exhaustive. 

Les collectivités, cœur de cible des pirates

Pour preuve, selon le bilan d’activités 2021 de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), 19 % des cyberattaques de type « rançongiciel » concernent des collectivités. Selon l’agence, les cyberattaques visant les entreprises, les hôpitaux et les collectivités locales ont augmenté de 30 % en deux ans.

Le site public Cybermalveillance.gouv.fr, qui assiste les victimes, indique qu’en 2021, 20 % de ses interventions ont concerné des collectivités confrontées à un rançongiciel. Lequel représente la principale menace avec le phishing, la défiguration de sites web, et l’introduction de logiciels malveillants dans les systèmes d’information.  

Les conséquences de ces différentes menaces sont multiples : 

  • Interruption du service rendu aux administrées et administrés,
  • Vol de données personnelles d’employés ou d’administrés,
  • Pertes financières,
  • Déficit d’image auprès du public et baisse de la confiance numérique.

En 2021, 20 % des interventions de Cybermalveillance.gouv.fr ont concerné des collectivités confrontées à un rançongiciel.

Les petites communes encore moins bien armées

Cybermalveillance.gouv.fr a mené l’enquête au printemps 2022. Et les conclusions de son étude sont particulièrement inquiétantes. 65 % des communes de moins de 3 500 âmes (qui représentent 91 % des communes en France) se croient à l’abri des cyberattaques. Quant aux usages, ils sont questionnables… 

  • Près de la moitié des élues et élus interrogés utilisent leurs outils personnels (téléphone, ordinateur) à la fois pour la mairie et pour un usage extramunicipal. 
  • 39 % reconnaissent mélanger leurs activités numériques personnelles et professionnelles (messagerie, bureautique, Internet…). 
  • Le partage de mots de passe entre agents et élus reste une pratique courante mais… risquée !

Par ailleurs, beaucoup d’élus locaux jugent la réglementation complexe, en particulier le RGPD (règlement général sur la protection des données). Ces personnes estiment ne pas être concernées, manquer de temps, de budget, et indiquent ne pas en faire leur priorité. 

Une impréparation et de mauvaises habitudes qui font le miel des cybercriminels.

En ordre de marche pour aider les collectivités

Plusieurs entités publiques spécialisées dans la cybersécurité et la lutte contre la cybercriminalité développent des actions en direction des collectivités. Ainsi, en novembre 2021, un groupe de travail a été créé. Il a abouti au lancement d’un programme de sensibilisation sous l’égide de plusieurs organismes, dont Cybermalveillance.gouv.fr, l’ANSSI, la Banque des territoires. Au menu : tutos, fiches pratiques, retours d’expérience, témoignages de collectivités touchées par une cyberattaque. 

Sous la houlette de l’ANSSI, certaines régions se dotent de centres de réponse aux incidents cyber, les CSIRT (Computer Security Incident Response Team). Il s’agit de constituer des équipes capables de former et d’assister différents publics, dont les collectivités. Sept régions se sont lancées dans l’expérience depuis janvier 2022. D’autres pourraient suivre d’ici 2024.

En juillet 2022, la CNIL (Commission nationale de l’informatique et des libertés) et Cybermalveillance.gouv.fr ont publié un guide à destination des collectivités : « Les obligations et responsabilités des collectivités locales en matière de cybersécurité ». Il se penche en particulier sur la protection et l’hébergement des données, et la mise en œuvre des téléservices. Y est également rappelée la responsabilité juridique des collectivités en cas d’attaque et de dommages liés. 

Pas totalement inutile lorsque l’on sait que début juillet 2022, la CNIL a rappelé à l’ordre 9 communes d’Île-de-France de plus de 20 000 habitants. Lesquelles sont mises en demeure de désigner une déléguée ou un délégué à la protection des données.

Avec France Relance, la plus grosse enveloppe pour les collectivités

Dans le cadre du plan France Relance, l’ANSSI bénéficie d’une enveloppe de 136 millions d’euros pour renforcer la cybersécurité de l’État et des territoires sur la période 2021-2022. 

Objectif : élever durablement le niveau de cybersécurité de l’État, des collectivités, des établissements de santé et des organisations au service de la population.

Dans ce cadre, 60 millions d’euros sont utilisés au profit des collectivités territoriales, via des parcours de cybersécurité, le cofinancement de projets, et le soutien à la création des CSIRT régionaux. La plus grosse enveloppe revient ainsi aux territoires pour les aider à mieux se protéger. Sans doute pas un hasard.

Lire aussi

Télésurveillance et vidéosurveillance : quelle différence ?

une caméra de vidéoprotection
Sécurité & Sûreté humaine
25 juin 2024

Installer un système de sécurité à son domicile, dans son entreprise ou dans un lieu public permet d’éviter bien des accidents ou de contrecarrer des délits. Parmi les options possibles, il y a la télésurveillance et la vidéosurveillance. Mais quelles sont les différences entre ces deux solutions ? Comment savoir…

En quoi consiste un audit de cybersécurité ?

Technologie & Systèmes
11 juin 2024

À l’heure où les cyberattaques se perfectionnent et gagnent en fréquence, la sécurisation des systèmes informatiques s’impose comme une priorité absolue pour toutes les entreprises. Chaque vulnérabilité représente une menace, et une seule faille peut ouvrir la porte à des conséquences désastreuses. C’est dans ce contexte qu’interviennent les audits de…

Comment concilier cybersécurité et sobriété numérique ?

Technologie & Systèmes
13 février 2024

Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…