Quelles évolutions pour la prise en considération de la Cybersécurité dans les collectivités territoriales ?

La prise de conscience par les élus, ou les instances dirigeantes, n’est pas encore à la hauteur des enjeux où bien souvent « la volonté de proposer de nouveaux téléservices prime sur les mesures de Cybersécurité »[1], qui sont perçues comme des contraintes à l’usage et non comme une valeur ajoutée.

Les impacts sont organisationnels puisque bien souvent la collectivité ne peut plus assurer ses missions de service public, ce qui affecte indirectement l’image des élus, mais aussi la confiance des citoyens dans les services numériques mis à leur disposition. Les conséquences peuvent aussi être environnementales lorsque l’attaque frappe un système industriel (station d’épuration[2]) mais aussi financiers quand par exemple, il devient impossible d’encaisser les recettes pour les places de stationnement[3].

Chaque type de collectivité territoriale couvre des secteurs d’activités complémentaires et détient des données qui sont monnayables sur le dark web[4]. Les communes gèrent par exemple l’état civil, les écoles ; les métropoles l’approvisionnement en eau potable, la gestion du trafic routier ; les départements les infrastructures routières, les collèges et les régions les lycées, les transports…. Bien entendu, il ne s’agit là que de quelques exemples. En revanche, chaque entité gère de façon indépendante ses installations informatiques et, lorsqu’une cyberattaque survient, se retrouve seule avec son propre service informatique et son RSSI (lorsque celui-ci existe).

En fait, la prise en considération du sujet cyber est très variable d’une collectivité à l’autre. Plusieurs facteurs expliquent ce fait comme l’indique le rapport MIPS (Menaces informatiques et pratiques de sécurité) du CLUSIF de 2020[5]. Le premier étant la taille de la collectivité. Pour les plus petites d’entre-elles, le sujet n’est pas adressé, ces dernières disposant d’un SI limité le plus souvent au poste informatique de la secrétaire de mairie. Elles pensent alors naïvement ne pas présenter d’intérêt pour des cybercriminels[6]. La fonction RSSI commence à apparaître lorsqu’un service informatique existe mais paradoxalement, plus la collectivité est importante, moins la fonction RSSI est visible. Il existe au moins trois cas de figure :

1. le RSSI est aussi DSI, position de juge et partie très inconfortable ;
2. le RSSI est rattaché à la DSI, le sujet cybersécurité n’est alors perçu que sous l’angle technique (la cybersécurité n’est donc vue qu’à partir du prisme du DSI qui n’a pas d’intérêt à mettre en avant la dette technique par exemple) ;
3. enfin le RSSI est en dehors de la DSI et peut s’adresser aux instances dirigeantes (ce qui est peu le cas en réalité).

Comme évoqué lors d’une table ronde organisée au Sénat en octobre 2021[7], deux points méritent une attention particulière, si l’on souhaite une évolution. Tout d’abord, le RSSI doit pouvoir s’adresser directement à la direction générale mais également aux élus (dans certaines collectivités, le RSSI a interdiction de le faire). Second point, suite logique du précédent, il est essentiel de faire évoluer cette fonction vers celle de directeur Cybersécurité et de rattacher ce poste au niveau stratégique.

En attendant ces évolutions, les RSSI de collectivité ont commencé à agir. C’est en partant du constat qu’il est regrettable de ne pas pouvoir apporter de l’aide ni capitaliser sur les expériences malheureuses des victimes, qu’est née l’idée de créer en 2019 un réseau de RSSI de collectivités. Cette initiative collective a été annoncée au FIC 2020[8] lors d’une réunion regroupant une poignée de RSSI de collectivités françaises et des représentants de l’ANSSI. Au fil des mois, le réseau s’est structuré autour d’un comité de coordination composé de représentants des différentes typologies de collectivité ; toujours en lien étroit avec l’ANSSI ; mais aussi d’outils permettant le partage d’informations et de bonnes pratiques. Aujourd’hui, cette expérience est un véritable succès puisqu’environ 160 membres composent ce réseau qui va acquérir le statut d’association prochainement.

Les cyberattaques ne frappent pas uniquement les collectivités françaises mais bien évidemment leurs homologues européens[9]. Les actions engagées (guides, échanges d’IOC et de bonnes pratiques, entraide, etc.) ont permis d’améliorer sensiblement le niveau de maturité et de sécurité de l’écosystème des collectivités territoriales françaises. Cette expérience, qui tend à être une réussite, ne trouverait-elle pas intérêt à être élargie au sein d’entités d’autres États membres de l’UE ?