Les collectivités face aux risques de cybersécurité

En 2020, près de 30% des collectivités territoriales ont été victimes d’une attaque au rançongiciel selon une étude du Clusif. Ce risque reste toutefois sous-évalué puisque 62% des répondants l’estiment faible, alors que l’impact financier maximal observé dans l’étude s’élève à 400 000 euros. Autre point d’attention de cette étude : la capitalisation sur les incidents n’est pas encore à l’ordre du jour, la priorité étant plutôt donnée à la remise en service qu’à l’analyse de l’attaque et la collecte d’éléments.

« Étant donné l’absence de capitalisation sur les incidents, la formalisation de la gestion de crise cyber reste très faible et inférieure aux pratiques observées en entreprise. La mise en œuvre de plans de conduite ou de reprise d’activité (PCA/PRA) ne concerne qu’un quart des collectivités avec une faible fréquence de tests de mise en pratique », analysent les auteurs du rapport.

Quels sont les principaux défis auxquels les collectivités doivent faire face en matière de cybersécurité ? De quel accompagnement et de quels soutiens ont-elles besoin ? Comment l’État peut-il leur venir en aide ? Telles sont les questions qui ont été débattues lors d’une table ronde intitulée « Collectivités & territoires : le numérique de confiance, un pilier essentiel de la cyber-résilience ! » organisée dans le cadre des universités d’été d’Hexatrust, le 19 septembre dernier.

Sensibiliser les collaborateurs… Et les élus !

« En matière de cybersécurité, les défis sont nombreux, car les collectivités proposent de plus en plus de services numérisés qu’il faut protéger. Et quand une cyberattaque frappe une commune, comme cela s’est produit en mars 2023 à Lille, il faut bien entendu défendre les infrastructures, mais aussi assurer la continuité de service aux citoyens », déclare Florence Puybareau, directrice des opérations du Campus Cyber Hauts-de-France Lille Métropole.

Sur le terrain, la situation est extrêmement variée. Les collectivités présentent des caractéristiques allant d’un extrême à l’autre, notamment en termes de taille et de compétences. Afin de renforcer les défenses d’une mairie, d’une communauté de commune ou d’agglomération, il est tout d’abord nécessaire de sensibiliser et de former les collaborateurs, premier rempart contre les cyberattaques. « Beaucoup de collectivités croient beaucoup à la ‘balle perdue’, c’est-à-dire au clic malheureux d’un employé de mairie sur un lien frauduleux. Dans les petites communes, nous sommes encore loin de cette prise de conscience de ‘comment le mal peut arriver’ », ajoute Sylvain Lambert, RSSI Pôle Emploi et président des maires ruraux des Yvelines.

Mais les collaborateurs ne sont pas la seule population à former. « Il faut sensibiliser les agents, mais aussi les élus qui, généralement, sont pleins de bonne volonté, mais encore très loin de se rendre compte des risques », fait remarquer Florence Puybareau. « Chaque élu a son propre parcours et n’est pas spécialiste de la cybersécurité. La culture informatique commence à être présente dans les collectivités, mais la culture numérique n’en est qu’à ses prémices. Le vocabulaire, les acronymes et les concepts de la cybersécurité peuvent donc parfois être difficiles à appréhender », commente de son côté Frédéric Masquelier, maire de Saint-Raphaël et co-président de la commission sécurité de l’AMF.

Autre composante à prendre en considération : l’administration (et ses rouages parfois complexes). « Les élus sont comme un chef dans une cuisine, qui définit les grandes lignes du menu et s’assure que les plats sont conformes à ce qui a été décidé. Ils fonctionnent en binôme avec l’administration dont le rôle est clé dans la sécurité du SI. Cela fait donc deux interlocuteurs : les maires, qui déterminent les grandes lignes, et les directeurs généraux des services, en charge de la mise en œuvre pratique », ajoute Frédéric Masquelier.

Un besoin de solutions fiables clés en main

Autre sujet de préoccupation pour les collectivités : le manque de budget, de temps et de compétences techniques. « Dans une commune, la marge de manœuvre budgétaire est la plupart du temps très réduite. Il nous faut donc des solutions simples, labellisées, que nous sommes capables de comprendre, supportées techniquement et qui ne nous coûtent pas cher », analyse Sylvain Lambert. Emmanuel Carjat, directeur général d’AntemetA, abonde dans le même sens : « Quand vous avez un budget limité, vous recherchez des solutions très automatisées et extrêmement simples à déployer. »

Quant à Frédéric Masquelier, il apporte son témoignage relatif à la ville de Saint-Raphaël : « Chaque année, nous recevons 35 000 courriers et pas un seul ne concerne sur la gestion de l’informatique ou du numérique de la commune. Toute l’action municipale porte sur des questions relatives au logement, aux ordures ménagères, à la voirie, à la gestion des écoles et des cantines… Les équipes municipales sont sollicitées 24 heures sur 24 et 7 jours sur 7. La cybersécurité, c’est un devoir de s’en occuper, mais cela ne veut pas dire que le maire est mauvais s’il ne s’en occupe pas. Il n’a tout simplement pas forcément le temps. C’est la raison pour laquelle nous avons besoin de solutions clés en main et de professionnels qui se mettent à notre niveau. »

L’appel est donc lancé : comment les services de l’État peuvent-ils aider les collectivités à mieux choisir les solutions fournies par un nombre réduit d’éditeurs spécialisés dans ce secteur d’activité ? La question est d’autant plus prégnante pour les logiciels de comptabilité sur lesquels repose le cœur même de l’activité des communes.

L’enjeu pour ces dernières est le niveau de confiance qu’elles peuvent placer dans ces outils stratégiques, surtout quand ils sont hébergés dans le cloud. « Les collectivités ont besoin de solutions de confiance, c’est-à-dire de solutions labellisées qui permettent aux maires de choisir en toute sécurité des solutions qui ont été au préalable analysées et validées par les services techniques », note Emmanuel Carjat.

Et quand les cybercriminels frappent, les Campus Cyber sont aux côtés des collectivités pour leur apporter leur aide, toujours précieuse en pareilles circonstances. « Une de nos missions principales est d’intervenir en amont sur le volet sensibilisation, ce que nous faisons avec l’ensemble des acteurs impliqués sur le territoire. Mais en cas de cyberattaque, un de nos rôles est aussi d’orienter les communes vers les bons interlocuteurs », conclut Florence Puybareau.