Les collectivités locales en ordre dispersé face au risque Cyber

Parfois victimes collatérales de grandes campagnes d’hameçonnage, parfois objets d’attaques ciblées, les collectivités locales paient le prix fort d’une maturité Cyber assez faible pour les plus petites d’entre-elles. Si les efforts sont manifestes, le manque de budget et de ressources humaines freinent le secteur.

La nuit de la Saint Sylvestre 2024 fut difficile pour de nombreux maires. 23 sites internet de mairies françaises ont été attaqués dans la journée du 31 décembre. Les sites de Marseille, Nice, Montpellier, Le Havre ont notamment été pris pour cible, de même que celui de la préfecture de police. L’enquête a été confiée à la Direction générale de la sécurité intérieure, mais l’origine semblait être des hackers prorusses. Le blocage temporaire de l’accès à ces sites n’a pas eu de réelles conséquences, mais ce n’est pas toujours le cas. On se souvient de l’attaque qui avait totalement immobilisé l’informatique de la mairie d’Eschau, le 25 septembre 2024. Tous les agents municipaux ont dû rebasculer dans un fonctionnement « papier » pour essayer de répondre tant bien que mal aux démarches administratives des habitants.

Dans la troisième édition de son étude sur la maturité cyber des collectivités, Cybermalveillance.gouv.fr révèle que 1 collectivité sur 10 déclare avoir déjà été victime d’une ou de plusieurs cyberattaques au cours des 12 derniers mois. Dans 37 % des cas, ces attaques ont entraîné une interruption d’activité des services, une destruction ou un vol de données dans 24 % des cas. Si dans un tiers des cas il s’agissait de hameçonnage, dans 12% des attaques, il s’agissait d’un virus téléchargé, dans 12% des cas d’une navigation sur des sites infectés et enfin une vulnérabilité non corrigée dans les 10% des attaques. Dans 45% des cas, la cause initiale n’a pu être identifiée formellement.

Un manque de culture Cyber généralisé dans les petites communes

La vulnérabilité des 36 000 communes françaises est avérée pour les plus petites d’entre elles. La même étude souligne que 73 % des petites et moyennes collectivités ont un budget informatique annuel total de moins de 5 000 euros ! En cette période de disette budgétaire, les deux tiers d’entre elles ne vont pas accroître ce montant en 2025.

Arnaud Martin, Administrateur du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) souligne : « Il y a globalement deux niveaux de maturité Cyber parmi les acteurs publics. Il y a d’une part les grandes collectivités qui disposent d’une véritable organisation et de ressources dédiées à la Cyber. On peut affirmer qu’elles sont aussi performantes et efficaces sur ce plan que les grandes entreprises. À côté d’elles, les petites collectivités ont les mêmes difficultés d’appréhension du domaine que les TPE ou les petites PME. » Le décalage est total entre ces petites collectivités où c’est parfois la secrétaire de mairie qui gère l’informatique et les grands services de l’État qui sont extrêmement avancés. Néanmoins, pour cet observateur privilégié du secteur, Arnaud Martin est aussi directeur des Risques Opérationnels, Cyber et Contrôle du Groupe Caisse des Dépôts, la situation évolue dans le bon sens.

Des crédits sont alloués par l’État pour aider ces collectivités à se protéger, notamment dans le cadre de l’initiative France 2030, avec un appel à manifestation d’intérêt (AMI) « Recensement de l’offre en cybersécurité ». Cette opération a été lancée dans la continuité du dispositif « Cyber PME ». Les collectivités peuvent aussi bénéficier d’un audit de sécurité gratuit. Cybermarveillance.fr et la CNIL ont publié un guide sur les obligations et les responsabilités des collectivités locales en matière de cybersécurité. Le GIP Acyma et Cybermalveillance.fr viennent en assistance aux collectivités victimes d’un incident de sécurité. Il faut ajouter à ces dispositifs la grande proximité des services de gendarmerie qui apportent une aide lors du dépôt de plainte.

Le coût exorbitant d’une attaque à mettre en regard de celui de la prévention

Cible d’une Cyberattaque en 2022, la mairie d’Aix-les-Bains a alors vu son système d’information totalement paralysé par un cryptominer. François Fumu-Tamuzo, Directeur des Systèmes d’Information à la Mairie d’Aix-les-Bains a immédiatement constitué une cellule de crise en interne et s’est tourné vers l’ANSSI. « L’ANSSI nous a mis en relation avec un PRIS (Prestataire de Réponse aux Incidents de Sécurité) pour mener les premiers diagnostics. Celui-ci est qualifié (labellisé) et peut immédiatement se mettre au travail, toutes les autorisations étant préalablement signées. » Si le DSI souligne que cette aide est extrêmement précieuse dans les premiers jours, son coût n’est pas négligeable. « À 1 200 € la journée cela reste très onéreux pour une commune qui va avoir besoin de son aide sur 10, 20 ou 30 jours ou sinon plus selon l’étendue des dégâts! En cumulant la rançon à payer si rançon il y avait !!! En ces jours de recherche des économies, il serait aussi intéressant d’y ajouter les coûts de la perte de productivité pour la collectivité, du manque à gagner pour la ville (parking, stationnement (FPS), facturations, taxes, autres services payants, … » Exorbitant pour une petite collectivité, ce coût de remédiation doit être mis en regard avec celui d’une politique de sécurité même simple qui permettra de repousser les attaques les plus fréquentes.

François Fumu-Tamuzo estime que l’approche artisanale de la Cyber qui est encore de mise dans de nombreuses collectivités locales doit faire place à une approche plus structurée. Se pose alors à elles le problème des ressources humaines. « Il n’y a pas un RSSI dans chaque mairie pour mettre en place une véritable PSSI (Politique de sécurité du système d’information). Bien souvent, le responsable informatique doit s’appuyer sur ses administrateurs réseaux et systèmes pour « bricoler » la cyber sécurité. C’est un enjeu de budget, mais avant tout culturel. Il faut sensibiliser les responsables et les élus à la problématique Cyber. Le risque de blocage des services municipaux délivrés aux citoyens est bien réel, de même qu’une demande de rançon et, bien entendu, l’impact en termes de e-Réputation que va avoir une attaque cyber. »

Un manque criant de ressources humaines spécialisées

Pascal Llopis, RSSI des CCIs de Nouvelle Aquitaine, DSI de la CCI Lot-et-Garonne et conseiller en cyberdéfense auprès des entreprises de Nouvelle Aquitaine confirme ce manque de ressources Cyber dans beaucoup de petites collectivités : « Beaucoup de mairies n’ont pas de responsable des systèmes d’information en interne. Leur informatique est souvent pilotée par des centres de gestion. C’est un centre de gestion qui va avoir la compétence numérique pour les collectivités territoriales. Or, ces centres ont beaucoup, beaucoup de travail » Prenant exemple du Lot-et-Garonne et de ses 319 communes, il souligne que les quelques personnes qui sont à la DSI du centre de gestion ne peuvent administrer, faire les audits de sécurité et assurer la remédiation pour l’ensemble des communes du département.

S’il passe l’obstacle de la sensibilisation et du budget, le DSI va rapidement se heurter au problème de la pénurie des talents cyber qui est particulièrement aigüe dans les collectivités locales : « Les rémunérations offertes et le statut ne suffisent pas à attirer des RSSI et une mutualisation de ces postes entre plusieurs communes va être nécessaire » estime le responsable. »

Des aides et des contraintes venues de l’État

Suite à ce constat, l’État français accorde des aides aux collectivités, notamment dans le cadre de France 2030 et encore le parcours Cybersécurité. L’ANSSI participe aussi au financement de certains projets Cyber. Le dispositif MonAideCyber donne les moyens à une collectivité de faire réaliser un audit de sécurité et définir les priorités pour élever leur niveau de protection. Il faut savoir qu’une mairie peut compter jusqu’à 180 applications différentes dans son système d’information, avec globalement une application pour chacune de ses missions… Cela demande de nombreuses compétences différentes à acquérir et les quelques membres de la DSI doivent porter de multiples casquettes. En termes de sécurité, un tel écosystème reste très difficile à maîtriser dans son ensemble.

Face à la complexité et la lenteur des marchés publics, en cas d’attaque informatique, l’État tolère un achat de prestation de gré à gré. En outre, le recours aux centrales d’achat comme l’UGAP, ARNIA, CANUT ou RESAH permet aussi de simplifier et accélérer le processus de sélection d’une solution.

De manière plus coercitive, le volet réglementaire va jouer un rôle important dans la diffusion de la cybersécurité dans le secteur public. Lorsque NIS 2 sera transposé en droit français, ce sont plusieurs milliers de collectivités territoriales qui devront se mettre en conformité sur les activités essentielles et importantes. « Actuellement, le seuil d’application en cours de discussion est de 30 000 habitants » explique Arnaud Martin, Administrateur du Cesin. « Quel qu’il soit dans le texte final, les contraintes seront proportionnelles à la taille des collectivités et une petite mairie n’aura pas les mêmes devoirs qu’une grande communauté urbaine. » RSSI mutualisés, recours généralisé à des services de sécurité managés, les responsables informatiques vont devoir faire preuve d’imagination pour concilier les moyens mis à leur disposition et se mettre en conformité avec la réglementation européenne.

Un écosystème Cyber qui doit s’adapter à cette cible très spécifique

Enfin, l’écosystème Cyber français travaille sur des offres adaptées à ces petites organisations. On voit des services managés comme des offres Cyber SOC qui peuvent répondre au besoin de sécurisation des TPE et même des particuliers. Ces offres très industrialisées peuvent répondre aux besoins en termes de coût et de manque de ressources internes de ce type d’organisation. Pascal Llopis prévient : « Acheter en masse des licences EDR ou XDR par exemple, permet de faire baisser drastiquement le coût de ces solutions, mais il faut faire attention à ce que le produit qui est mis en place réponde bien aux besoins de la commune et qu’il ne soit ni surdimensionné ni sous-dimensionné. C’est un petit peu la crainte des collectivités et des chefs d’entreprise qui, s’ils font appel à une société d’audit de sécurité, craignent que celle-ci ne lui vende en priorité le produit qu’elle a dans son catalogue. »

Si les PME/PMI ont aujourd’hui compris qu’une attaque informatique peut les contraindre à stopper leur activité et mettre en péril la pérennité de leur entreprise, ce message n’est pas encore totalement passé auprès des élus. Certes, une collectivité locale ne peut faire faillite, mais le risque est bien réel de voir les services délivrés aux administrés interrompus, avec la perte de confiance pour l’institution et les agents communaux à la clé.