3 min

Quelles évolutions pour la prise en considération de la Cybersécurité dans les collectivités territoriales ?

La crise sanitaire a accéléré la mise en place de services numériques proposés par les collectivités territoriales pour les citoyens. Leur usage n’est possible que dans un environnement de confiance dont la sécurité est le garant. Malheureusement, les fréquentes cyberattaques dont sont victimes les collectivités depuis plus de 2 ans, démontrent des faiblesses dans les mesures de Cybersécurité.

Cyril Bras

Cyril Bras est le directeur Cybersécurité de Whaller depuis mars 2022. Il était auparavant RSSI de la métropole de Grenoble et est à l'initiative de la création du réseau de RSSI de collectivités territoriales. Il est également vice président de l'INCRT et auditeur IHEDN de la 2nd session nationale cybersécurité et souveraineté numérique.

Voir tous les articles

La prise de conscience par les élus, ou les instances dirigeantes, n’est pas encore à la hauteur des enjeux où bien souvent « la volonté de proposer de nouveaux téléservices prime sur les mesures de Cybersécurité »[1], qui sont perçues comme des contraintes à l’usage et non comme une valeur ajoutée.

Les impacts sont organisationnels puisque bien souvent la collectivité ne peut plus assurer ses missions de service public, ce qui affecte indirectement l’image des élus, mais aussi la confiance des citoyens dans les services numériques mis à leur disposition. Les conséquences peuvent aussi être environnementales lorsque l’attaque frappe un système industriel (station d’épuration[2]) mais aussi financiers quand par exemple, il devient impossible d’encaisser les recettes pour les places de stationnement[3].

Chaque type de collectivité territoriale couvre des secteurs d’activités complémentaires et détient des données qui sont monnayables sur le dark web[4]. Les communes gèrent par exemple l’état civil, les écoles ; les métropoles l’approvisionnement en eau potable, la gestion du trafic routier ; les départements les infrastructures routières, les collèges et les régions les lycées, les transports…. Bien entendu, il ne s’agit là que de quelques exemples. En revanche, chaque entité gère de façon indépendante ses installations informatiques et, lorsqu’une cyberattaque survient, se retrouve seule avec son propre service informatique et son RSSI (lorsque celui-ci existe).

En fait, la prise en considération du sujet cyber est très variable d’une collectivité à l’autre. Plusieurs facteurs expliquent ce fait comme l’indique le rapport MIPS (Menaces informatiques et pratiques de sécurité) du CLUSIF de 2020[5]. Le premier étant la taille de la collectivité. Pour les plus petites d’entre-elles, le sujet n’est pas adressé, ces dernières disposant d’un SI limité le plus souvent au poste informatique de la secrétaire de mairie. Elles pensent alors naïvement ne pas présenter d’intérêt pour des cybercriminels[6]. La fonction RSSI commence à apparaître lorsqu’un service informatique existe mais paradoxalement, plus la collectivité est importante, moins la fonction RSSI est visible. Il existe au moins trois cas de figure :

  1. le RSSI est aussi DSI, position de juge et partie très inconfortable ;
  2. le RSSI est rattaché à la DSI, le sujet cybersécurité n’est alors perçu que sous l’angle technique (la cybersécurité n’est donc vue qu’à partir du prisme du DSI qui n’a pas d’intérêt à mettre en avant la dette technique par exemple) ;
  3. enfin le RSSI est en dehors de la DSI et peut s’adresser aux instances dirigeantes (ce qui est peu le cas en réalité).

Comme évoqué lors d’une table ronde organisée au Sénat en octobre 2021[7], deux points méritent une attention particulière, si l’on souhaite une évolution. Tout d’abord, le RSSI doit pouvoir s’adresser directement à la direction générale mais également aux élus (dans certaines collectivités, le RSSI a interdiction de le faire). Second point, suite logique du précédent, il est essentiel de faire évoluer cette fonction vers celle de directeur Cybersécurité et de rattacher ce poste au niveau stratégique.

En attendant ces évolutions, les RSSI de collectivité ont commencé à agir. C’est en partant du constat qu’il est regrettable de ne pas pouvoir apporter de l’aide ni capitaliser sur les expériences malheureuses des victimes, qu’est née l’idée de créer en 2019 un réseau de RSSI de collectivités. Cette initiative collective a été annoncée au FIC 2020[8] lors d’une réunion regroupant une poignée de RSSI de collectivités françaises et des représentants de l’ANSSI. Au fil des mois, le réseau s’est structuré autour d’un comité de coordination composé de représentants des différentes typologies de collectivité ; toujours en lien étroit avec l’ANSSI ; mais aussi d’outils permettant le partage d’informations et de bonnes pratiques. Aujourd’hui, cette expérience est un véritable succès puisqu’environ 160 membres composent ce réseau qui va acquérir le statut d’association prochainement.

Les cyberattaques ne frappent pas uniquement les collectivités françaises mais bien évidemment leurs homologues européens[9]. Les actions engagées (guides, échanges d’IOC et de bonnes pratiques, entraide, etc.) ont permis d’améliorer sensiblement le niveau de maturité et de sécurité de l’écosystème des collectivités territoriales françaises. Cette expérience, qui tend à être une réussite, ne trouverait-elle pas intérêt à être élargie au sein d’entités d’autres États membres de l’UE ?

[1] B. Le Corre, « Victime d’une cyberattaque, les services de la ville d’Angers paralysés » Brut, 21 Janvier 2021. [En ligne]
[2] D. Filippone, « Les stations d’assainissement d’Oloron Sainte-Marie visées par un ransomware (MAJ) » Le Monde informatique, 30 Septembre 2021. [En ligne]
[3] V. Bouvet-Gerbettaz, « Parkings : 80 000 euros de perte pour la Ville après la cyberattaque » Le Dauphiné Libéré, 09 Décembre 2021. [En ligne]
[4] V. Bouvet-Gerbettaz, « Cyberattaque du Grand Annecy : quelles sont les données divulguées sur le darkweb ? » Le Dauphiné Libéré, 10 Mai 2021. [En ligne]
[5] CLUSIF, « Études Menaces informatiques et pratiques de sécurité – Collectivités territoriales – Édition 2020 (MIPS 2020) » 30 Juin 2020. [En ligne]
[6] Marie de Crêts En Belledonne, « Communiqué Cyber attaque » 13 Février 2020. [En ligne]
[7] S. Barbary et F. Gatel, « Les collectivités térritoriales face au défi de la Cybersécurité » Paris, 2021.
[8] J. Cheminat, «Les RSSI des collectivités territoriales créent un réseau de partage,» Le Monde Informatique, 16 Février 2021. [En ligne]. Available: https://www.lemondeinformatique.fr/actualites/lire-les-rssi-des-collectivites-territoriales-creent-un-reseau-de-partage-81985.html. [Accès le 11 Mars 2021].
[9] Le Point, « Cyberattaque en Belgique : la ville de Liège victime d’un rançongiciel » Le Point, 21 Juin 2021. [En ligne]
Partager cet article avec un ami