Au même titre que les entreprises et les hôpitaux, les collectivités sont régulièrement ciblées par des cyberattaques. Les plus petites communes sont celles qui présentent le plus de faiblesses face au risque cyber. Pourquoi sont-elles ciblées ? Quelles peuvent être les conséquences ? Comment sont-elles soutenues pour améliorer leur protection ?

C’est une (très) longue litanie qui s’est accélérée avec la crise sanitaire. Comme pour les entreprises et les hôpitaux, depuis 2020, nombre de collectivités publiques sont ciblées par des cyberattaques. Des mairies, des conseils départementaux, des métropoles, des régions… Aucune collectivité, quelle que soit sa taille, n’est épargnée. 

La Région Grand Est, l’agglomération du Grand Cognac, la Métropole Aix-Marseille-Provence, la Métropole d’Orléans, le conseil départemental d’Eure-et-Loir, la Ville de Vincennes à l’automne 2020. Plus récemment, la mairie de Saumur en mars 2022, le conseil départemental de l’Ardèche en avril 2022, puis le conseil départemental d’Indre-et-Loire en juillet 2022… Dans le flot continu des cyberattaques touchant les collectivités, difficile de tenir une « comptabilité » à jour et exhaustive. 

Les collectivités, cœur de cible des pirates

Pour preuve, selon le bilan d’activités 2021 de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), 19 % des cyberattaques de type « rançongiciel » concernent des collectivités. Selon l’agence, les cyberattaques visant les entreprises, les hôpitaux et les collectivités locales ont augmenté de 30 % en deux ans.

Le site public Cybermalveillance.gouv.fr, qui assiste les victimes, indique qu’en 2021, 20 % de ses interventions ont concerné des collectivités confrontées à un rançongiciel. Lequel représente la principale menace avec le phishing, la défiguration de sites web, et l’introduction de logiciels malveillants dans les systèmes d’information.  

Les conséquences de ces différentes menaces sont multiples : 

  • Interruption du service rendu aux administrées et administrés,
  • Vol de données personnelles d’employés ou d’administrés,
  • Pertes financières,
  • Déficit d’image auprès du public et baisse de la confiance numérique.

En 2021, 20 % des interventions de Cybermalveillance.gouv.fr ont concerné des collectivités confrontées à un rançongiciel.

Les petites communes encore moins bien armées

Cybermalveillance.gouv.fr a mené l’enquête au printemps 2022. Et les conclusions de son étude sont particulièrement inquiétantes. 65 % des communes de moins de 3 500 âmes (qui représentent 91 % des communes en France) se croient à l’abri des cyberattaques. Quant aux usages, ils sont questionnables… 

  • Près de la moitié des élues et élus interrogés utilisent leurs outils personnels (téléphone, ordinateur) à la fois pour la mairie et pour un usage extramunicipal. 
  • 39 % reconnaissent mélanger leurs activités numériques personnelles et professionnelles (messagerie, bureautique, Internet…). 
  • Le partage de mots de passe entre agents et élus reste une pratique courante mais… risquée !

Par ailleurs, beaucoup d’élus locaux jugent la réglementation complexe, en particulier le RGPD (règlement général sur la protection des données). Ces personnes estiment ne pas être concernées, manquer de temps, de budget, et indiquent ne pas en faire leur priorité. 

Une impréparation et de mauvaises habitudes qui font le miel des cybercriminels.

En ordre de marche pour aider les collectivités

Plusieurs entités publiques spécialisées dans la cybersécurité et la lutte contre la cybercriminalité développent des actions en direction des collectivités. Ainsi, en novembre 2021, un groupe de travail a été créé. Il a abouti au lancement d’un programme de sensibilisation sous l’égide de plusieurs organismes, dont Cybermalveillance.gouv.fr, l’ANSSI, la Banque des territoires. Au menu : tutos, fiches pratiques, retours d’expérience, témoignages de collectivités touchées par une cyberattaque. 

Sous la houlette de l’ANSSI, certaines régions se dotent de centres de réponse aux incidents cyber, les CSIRT (Computer Security Incident Response Team). Il s’agit de constituer des équipes capables de former et d’assister différents publics, dont les collectivités. Sept régions se sont lancées dans l’expérience depuis janvier 2022. D’autres pourraient suivre d’ici 2024.

En juillet 2022, la CNIL (Commission nationale de l’informatique et des libertés) et Cybermalveillance.gouv.fr ont publié un guide à destination des collectivités : « Les obligations et responsabilités des collectivités locales en matière de cybersécurité ». Il se penche en particulier sur la protection et l’hébergement des données, et la mise en œuvre des téléservices. Y est également rappelée la responsabilité juridique des collectivités en cas d’attaque et de dommages liés. 

Pas totalement inutile lorsque l’on sait que début juillet 2022, la CNIL a rappelé à l’ordre 9 communes d’Île-de-France de plus de 20 000 habitants. Lesquelles sont mises en demeure de désigner une déléguée ou un délégué à la protection des données.

Avec France Relance, la plus grosse enveloppe pour les collectivités

Dans le cadre du plan France Relance, l’ANSSI bénéficie d’une enveloppe de 136 millions d’euros pour renforcer la cybersécurité de l’État et des territoires sur la période 2021-2022. 

Objectif : élever durablement le niveau de cybersécurité de l’État, des collectivités, des établissements de santé et des organisations au service de la population.

Dans ce cadre, 60 millions d’euros sont utilisés au profit des collectivités territoriales, via des parcours de cybersécurité, le cofinancement de projets, et le soutien à la création des CSIRT régionaux. La plus grosse enveloppe revient ainsi aux territoires pour les aider à mieux se protéger. Sans doute pas un hasard.

Lire aussi

Comment concilier cybersécurité et sobriété numérique ?

Technologie & Systèmes
13 février 2024

Confrontées à un univers cyber toujours plus menaçant, les entreprises doivent, dans le même temps, veiller à réduire l’empreinte environnementale engendrée par leurs activités et équipements numériques. La cybersécurité des entreprises peut-elle concilier efficacité et écoresponsabilité ? Les entreprises à la croisée des enjeux de sécurité et de préservation de…

Quel avenir pour la vidéosurveillance assistée par intelligence artificielle ?

Technologie & Systèmes
30 janvier 2024

Alors que le recours à la vidéosurveillance intelligente dans l’espace public soulève des interrogations quant au respect des libertés fondamentales des individus, les autorités viennent d’indiquer qu’elle ne serait utilisée que de façon restreinte lors des JO de Paris 2024. Elles n’y ont finalement pas eu recours lors de la…

La cybersécurité des infrastructures critiques, un enjeu d’importance nationale

Technologie & Systèmes
23 janvier 2024

Télécommunication, santé, services financiers, énergie, agriculture… La France compte 300 entreprises et organismes publics et privés considérés comme des infrastructures critiques. Les autorités françaises parlent d’Opérateurs d’importance vitale (OIV), parce qu’ils sont jugés essentiels au bon fonctionnement de l’Etat et de son économie. Pourquoi leur protection cyber est-elle essentielle ? Comment…