Les collectivités publiques
très vulnérables face
aux cybercriminels

• Interruption du service rendu aux administrées et administrés,
• Vol de données personnelles d’employés ou d’administrés,
• Pertes financières,
• Déficit d’image auprès du public et baisse de la confiance numérique.

En 2021, 20 % des interventions de Cybermalveillance.gouv.fr ont concerné des collectivités confrontées à un rançongiciel.

Les petites communes encore moins bien armées

Cybermalveillance.gouv.fr a mené l’enquête au printemps 2022. Et les conclusions de son étude sont particulièrement inquiétantes. 65 % des communes de moins de 3 500 âmes (qui représentent 91 % des communes en France) se croient à l’abri des cyberattaques. Quant aux usages, ils sont questionnables… 

• Près de la moitié des élues et élus interrogés utilisent leurs outils personnels (téléphone, ordinateur) à la fois pour la mairie et pour un usage extramunicipal. 
• 39 % reconnaissent mélanger leurs activités numériques personnelles et professionnelles (messagerie, bureautique, Internet…). 
• Le partage de mots de passe entre agents et élus reste une pratique courante mais… risquée !

Par ailleurs, beaucoup d’élus locaux jugent la réglementation complexe, en particulier le RGPD (règlement général sur la protection des données). Ces personnes estiment ne pas être concernées, manquer de temps, de budget, et indiquent ne pas en faire leur priorité. 

Une impréparation et de mauvaises habitudes qui font le miel des cybercriminels.

En ordre de marche pour aider les collectivités

Plusieurs entités publiques spécialisées dans la cybersécurité et la lutte contre la cybercriminalité développent des actions en direction des collectivités. Ainsi, en novembre 2021, un groupe de travail a été créé. Il a abouti au lancement d’un programme de sensibilisation sous l’égide de plusieurs organismes, dont Cybermalveillance.gouv.fr, l’ANSSI, la Banque des territoires. Au menu : tutos, fiches pratiques, retours d’expérience, témoignages de collectivités touchées par une cyberattaque. 

Sous la houlette de l’ANSSI, certaines régions se dotent de centres de réponse aux incidents cyber, les CSIRT (Computer Security Incident Response Team). Il s’agit de constituer des équipes capables de former et d’assister différents publics, dont les collectivités. Sept régions se sont lancées dans l’expérience depuis janvier 2022. D’autres pourraient suivre d’ici 2024.

En juillet 2022, la CNIL (Commission nationale de l’informatique et des libertés) et Cybermalveillance.gouv.fr ont publié un guide à destination des collectivités : « Les obligations et responsabilités des collectivités locales en matière de cybersécurité ». Il se penche en particulier sur la protection et l’hébergement des données, et la mise en œuvre des téléservices. Y est également rappelée la responsabilité juridique des collectivités en cas d’attaque et de dommages liés. 

Pas totalement inutile lorsque l’on sait que début juillet 2022, la CNIL a rappelé à l’ordre 9 communes d’Île-de-France de plus de 20 000 habitants. Lesquelles sont mises en demeure de désigner une déléguée ou un délégué à la protection des données.

Avec France Relance, la plus grosse enveloppe pour les collectivités

Dans le cadre du plan France Relance, l’ANSSI bénéficie d’une enveloppe de 136 millions d’euros pour renforcer la cybersécurité de l’État et des territoires sur la période 2021-2022. 

Objectif : élever durablement le niveau de cybersécurité de l’État, des collectivités, des établissements de santé et des organisations au service de la population.

Dans ce cadre, 60 millions d’euros sont utilisés au profit des collectivités territoriales, via des parcours de cybersécurité, le cofinancement de projets, et le soutien à la création des CSIRT régionaux. La plus grosse enveloppe revient ainsi aux territoires pour les aider à mieux se protéger. Sans doute pas un hasard.