Cyberattaques : petites et moyennes collectivités sont mal préparées

Cybermalveillance.gouv.fr a publié, le 18 novembre 2024, sa troisième étude annuelle sur la maturité cyber des collectivités françaises. Le rapport s’appuie sur les réponses de 1 700 élus ou agents territoriaux de collectivités de moins de 25 000 habitants en France. L’enquête révèle notamment un faible niveau de préparation face aux cyberattaques, en particulier pour les plus petites structures.

Le risque est pourtant réel : une collectivité sur dix a subi un piratage au cours des douze derniers mois. Si 30 % des victimes l’attribuent à un hameçonnage, 45 % en ignorent l’origine. Les conséquences sont souvent lourdes : 37 % des entités touchées déplorent une interruption d’activité et de service, et 24 % une destruction ou un vol de données.

44 % des collectivités s’estiment pourtant « faiblement exposées » aux risques, en hausse de 6 points par rapport à l’étude de 2023. 53 % considèrent d’ailleurs qu’elles disposent d’un bon niveau de protection, même s’il se limite à un anti-virus ou un pare-feu. Ces outils sont certes nécessaires, mais souvent peu efficaces face à une attaque par hameçonnage ou par ingénierie sociale.

Ce sentiment de sécurité est donc probablement surestimé. Or, la moitié des entreprises qui s’estiment bien protégées ne disposent d’aucun plan de continuité ou de reprise d’activité, et 28 % ignorent ce qu’est un tel dispositif. 78 % se retrouveraient donc parfaitement démunies face à une cyberattaque d’importance.

Dans la même logique, 77 % des élus et agents indiquent que leur organisation dépense moins de 2 000 euros par an pour la cybersécurité, et seuls 10 % signalent une hausse sur ce poste budgétaire. Dans un contexte d’augmentation des cyberattaques, y compris contre les plus petites collectivités, ce défaut de prévoyance ne peut qu’aggraver les conséquences des futurs incidents.