Au même titre que les entreprises et les hôpitaux, les collectivités sont régulièrement ciblées par des cyberattaques. Les plus petites communes sont celles qui présentent le plus de faiblesses face au risque cyber. Pourquoi sont-elles ciblées ? Quelles peuvent être les conséquences ? Comment sont-elles soutenues pour améliorer leur protection ?

C’est une (très) longue litanie qui s’est accélérée avec la crise sanitaire. Comme pour les entreprises et les hôpitaux, depuis 2020, nombre de collectivités publiques sont ciblées par des cyberattaques. Des mairies, des conseils départementaux, des métropoles, des régions… Aucune collectivité, quelle que soit sa taille, n’est épargnée. 

La Région Grand Est, l’agglomération du Grand Cognac, la Métropole Aix-Marseille-Provence, la Métropole d’Orléans, le conseil départemental d’Eure-et-Loir, la Ville de Vincennes à l’automne 2020. Plus récemment, la mairie de Saumur en mars 2022, le conseil départemental de l’Ardèche en avril 2022, puis le conseil départemental d’Indre-et-Loire en juillet 2022… Dans le flot continu des cyberattaques touchant les collectivités, difficile de tenir une « comptabilité » à jour et exhaustive. 

Les collectivités, cœur de cible des pirates

Pour preuve, selon le bilan d’activités 2021 de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), 19 % des cyberattaques de type « rançongiciel » concernent des collectivités. Selon l’agence, les cyberattaques visant les entreprises, les hôpitaux et les collectivités locales ont augmenté de 30 % en deux ans.

Le site public Cybermalveillance.gouv.fr, qui assiste les victimes, indique qu’en 2021, 20 % de ses interventions ont concerné des collectivités confrontées à un rançongiciel. Lequel représente la principale menace avec le phishing, la défiguration de sites web, et l’introduction de logiciels malveillants dans les systèmes d’information.  

Les conséquences de ces différentes menaces sont multiples : 

  • Interruption du service rendu aux administrées et administrés,
  • Vol de données personnelles d’employés ou d’administrés,
  • Pertes financières,
  • Déficit d’image auprès du public et baisse de la confiance numérique.

En 2021, 20 % des interventions de Cybermalveillance.gouv.fr ont concerné des collectivités confrontées à un rançongiciel.

Les petites communes encore moins bien armées

Cybermalveillance.gouv.fr a mené l’enquête au printemps 2022. Et les conclusions de son étude sont particulièrement inquiétantes. 65 % des communes de moins de 3 500 âmes (qui représentent 91 % des communes en France) se croient à l’abri des cyberattaques. Quant aux usages, ils sont questionnables… 

  • Près de la moitié des élues et élus interrogés utilisent leurs outils personnels (téléphone, ordinateur) à la fois pour la mairie et pour un usage extramunicipal. 
  • 39 % reconnaissent mélanger leurs activités numériques personnelles et professionnelles (messagerie, bureautique, Internet…). 
  • Le partage de mots de passe entre agents et élus reste une pratique courante mais… risquée !

Par ailleurs, beaucoup d’élus locaux jugent la réglementation complexe, en particulier le RGPD (règlement général sur la protection des données). Ces personnes estiment ne pas être concernées, manquer de temps, de budget, et indiquent ne pas en faire leur priorité. 

Une impréparation et de mauvaises habitudes qui font le miel des cybercriminels.

En ordre de marche pour aider les collectivités

Plusieurs entités publiques spécialisées dans la cybersécurité et la lutte contre la cybercriminalité développent des actions en direction des collectivités. Ainsi, en novembre 2021, un groupe de travail a été créé. Il a abouti au lancement d’un programme de sensibilisation sous l’égide de plusieurs organismes, dont Cybermalveillance.gouv.fr, l’ANSSI, la Banque des territoires. Au menu : tutos, fiches pratiques, retours d’expérience, témoignages de collectivités touchées par une cyberattaque. 

Sous la houlette de l’ANSSI, certaines régions se dotent de centres de réponse aux incidents cyber, les CSIRT (Computer Security Incident Response Team). Il s’agit de constituer des équipes capables de former et d’assister différents publics, dont les collectivités. Sept régions se sont lancées dans l’expérience depuis janvier 2022. D’autres pourraient suivre d’ici 2024.

En juillet 2022, la CNIL (Commission nationale de l’informatique et des libertés) et Cybermalveillance.gouv.fr ont publié un guide à destination des collectivités : « Les obligations et responsabilités des collectivités locales en matière de cybersécurité ». Il se penche en particulier sur la protection et l’hébergement des données, et la mise en œuvre des téléservices. Y est également rappelée la responsabilité juridique des collectivités en cas d’attaque et de dommages liés. 

Pas totalement inutile lorsque l’on sait que début juillet 2022, la CNIL a rappelé à l’ordre 9 communes d’Île-de-France de plus de 20 000 habitants. Lesquelles sont mises en demeure de désigner une déléguée ou un délégué à la protection des données.

Avec France Relance, la plus grosse enveloppe pour les collectivités

Dans le cadre du plan France Relance, l’ANSSI bénéficie d’une enveloppe de 136 millions d’euros pour renforcer la cybersécurité de l’État et des territoires sur la période 2021-2022. 

Objectif : élever durablement le niveau de cybersécurité de l’État, des collectivités, des établissements de santé et des organisations au service de la population.

Dans ce cadre, 60 millions d’euros sont utilisés au profit des collectivités territoriales, via des parcours de cybersécurité, le cofinancement de projets, et le soutien à la création des CSIRT régionaux. La plus grosse enveloppe revient ainsi aux territoires pour les aider à mieux se protéger. Sans doute pas un hasard.

Lire aussi

Le métavers aura-t-il, lui aussi,
son double maléfique, le darkverse ?

structure faite par technologie digitale
Technologie & Systèmes
18 octobre 2022

Des spécialistes en cybercriminalité en ont la conviction. Le métavers, ce nouvel espace en ligne basé sur la réalité virtuelle, aura son pendant illégal. Au Web classique son dark Web et ses activités illicites, au métavers, le darkverse. Mais à quoi faut-il vraiment s’attendre dans les arrière-boutiques sombres du darkverse…

Cybersécurité : que deviennent
les données volées en ligne ?

Un hacker tentant de hacker un système de sécurité
Technologie & Systèmes
11 octobre 2022

Les données personnelles et professionnelles représentent un Graal très attractif pour les pirates du Net. Et pour cause : dans le monde, le coût de la violation de données représente près de 4,3 millions d’euros (4,35 millions de dollars) en moyenne par incident, selon IBM. Pourquoi ces données ont-elles un…

Caméras intelligentes :
la CNIL livre sa position

focus d'une caméra de surveillance avec une vue panoramique
Technologie & Systèmes
30 août 2022

Du 14 janvier au 11 mars 2022, la CNIL (Commission nationale informatique et libertés) a fait appel aux contributions pour affiner sa position sur le déploiement exponentiel des caméras smart dans l’espace public. Lesquelles sont enrichies d’algorithmes d’analyses à base d’intelligence artificielle. Quelles sont ses conclusions publiées le 19 juillet…