Les collectivités locales à l’épreuve de la cybercriminalité

Si la palette d’outils de cybersécurité mise à disposition des collectivités locales s’étoffe, un travail conséquent de sensibilisation reste à mener, alors même que certains manquements dans les systèmes d’information des communes ouvrent de véritables boulevards aux cybercriminels.

Dans sa feuille de route du numérique pour la mandature 2022-2027, l’Avicca, qui fédère deux-cent-trente collectivités engagées dans le numérique, pour faciliter l’échange des pratiques et agir ensemble au plan national, pointe du doigt la menace que représentent les cybercriminels pour les collectivités, quelles que soient leur taille et leur notoriété. L’association propose un ensemble de mesures pour renforcer la sécurité de leurs systèmes d’information.

Selon elle, un sujet en particulier reste dans l’angle mort : celui du manque de robustesse et de fiabilité des capteurs et des réseaux de l’Internet des objets (IoT). Pour l’Avicca, la réponse au problème est simple, même si sa mise en œuvre s’avère plus complexe : il faut prendre en compte la sécurité de toute la chaîne, des capteurs aux superviseurs, dès l’origine des projets (security by design).

Comme le souligne Ariel Turpin, son délégué général, les collectivités n’ont aucune idée du niveau de sécurité de leurs capteurs et il semble inutile d’en ajouter dans la ville, ce qui ne fait que multiplier les fragilités sur le SI et perdre ce qu’on a pu gagner en optimisation économique ou en meilleure vision et gestion du territoire. L’association suggère donc de conduire, avec différents partenaires, une étude sur la sécurité informatique de la chaîne de mise en œuvre des objets connectés et d’en assurer le suivi s’agissant spécifiquement des capteurs et des réseaux de l’IoT.

65 % des petites collectivités jugent mal le risque cyber

Face aux risques prégnants de cyberattaques, les acteurs de l’écosystème partagent un même constat, celui du risque désormais accru pour les collectivités de « petite taille ». Une inquiétude légitime que confirme l’étude « La cybersécurité dans les collectivités de moins de 3 500 habitants ». Ces dernières représentent 91 % des communes. L’enquête a été menée auprès de plus de cinq cent élus et agents par Cybermalveillance.gouv.fr, plate-forme pilotée par un Groupement d’Intérêt Public de cinquante-six membres, dont font partie l’Anssi, l’Avicca et la Cnil.

Il ressort de l’étude que 77 % des collectivités ont un parc informatique réduit de moins de cinq postes dédiés, 77 % externalisent la gestion de ce dernier et 65 % pensent que le risque cyber est faible, voire inexistant, ou ne savent pas l’évaluer. Quatre grandes objections sont évoquées par les collectivités quant à la nécessité sécuritaire : budget insuffisant, manque de temps, autres priorités ou pas concernée.

L’étude a aussi montré un défaut de perception de la règlementation. Cybermalveillance.gouv.fr a donc conçu avec la Cnil un guide juridique, qui est sorti début juillet. « Il rappelle les obligations légales des collectivités locales et de leurs établissements publics, liées à la protection des données personnelles, au téléservice ou encore à l’hébergement des données de santé », détaille Jérôme Notin, directeur général du site. La plate-forme a par ailleurs lancé au FIC 2022 un module « Assistance Cyber en ligne » permettant aux victimes d’une cyberattaque d’accéder directement à un diagnostic sur les sites web ayant intégré le service.

60 millions pour la cybersécurité des collectivités

L’étude précitée a été menée dans le cadre du volet relatif à la cybersécurité des collectivités locales du plan France Relance. Ce dernier consacre 60 millions d’euros à la cybersécurité pour les collectivités locales via des Parcours de cybersécurité, le co-financement de projets et le soutien à la création de CSIRT, centres régionaux de réponse à incident cyber.

L’Anssi ayant réalisé que ces mesures ne profitaient pas forcément aux toutes petites collectivités, l’un des critères de sélection étant de disposer d’une équipe chargée de la sécurité du SI, elle a par la suite rectifié le tir. En lançant fin mars 2022 un dispositif pour soutenir le déploiement de solutions de cybersécurité rapides à installer et en adéquation avec les besoins immédiats en la matière.

« Cet appel à projets cible en priorité les « petites » communes et communautés de communes via leurs structures de mutualisation : opérateurs publics de services numériques, centres de gestion départementaux, syndicats mixtes en charge du numérique. Il peut aussi s’adresser aux offices du tourisme, syndicat mixte de gestion de l’eau ou de l’énergie ou aux CCAS », précise Ariel Turpin. Parmi les familles de produits déjà éligibles à la subvention, les solutions de sécurisation des e-mails, les gestionnaires de mots de passe et les solutions de sauvegarde sécurisées.

La gendarmerie, soutien de proximité

La gendarmerie n’est pas en reste dans la sensibilisation des collectivités, dont les plus petites ne disposent pas souvent d’un directeur des systèmes d’information (DSI) et encore moins d’un responsable de la sécurité des systèmes d’information (RSSI). Elle a lancé en 2021 avec Cybermalveillance.gouv.fr le dispositif Immunité Cyber : neuf questions pour déterminer si une collectivité a potentiellement une faiblesse dans son système informatique.

Mais son action ne s’arrête pas là. Pour aider des élus souvent peu ou pas formés à la cybersécurité, elle a annoncé aux Assises Numériques 2022, organisées en juin à Port Marly par Seine et Yvelines Numérique, le lancement d’un outil de pré diagnostic élémentaire. Actuellement expérimenté dans dix départements, il a vocation à s’étendre à terme à tout le territoire.

« Il consiste à établir un état des lieux de la protection des systèmes informatiques selon neuf thématiques, pour ensuite établir une synthèse et les recommandations idoines, a indiqué au cours de la conférence « Les collectivités en première ligne » au FIC 2022, le colonel Barnabé Watin-Augouard, chef de la division proximité numérique du commandement de la gendarmerie dans le cyberespace (comcybergend). L’objectif est d’amener les élus et les prestataires extérieurs à se poser les bonnes questions pour les orienter ensuite vers Cybermalveillance.gouv.fr ».

Mutualiser, une solution pour les petites communes

De son côté, la Métropole Européenne de Lille (MEL) a mis en place en juin 2019 un dispositif de DPO et de RSSI mutualisés pour les communes. Deux RSSI ont pour l’heure rejoint le service, Pierre Barrial à sa création, et Lionel Pratz voilà quelques mois. Sur les quatre-vingt-quinze communes membres de la MEL, une soixantaine ont déjà adhéré au dispositif. « La conception en 2021 d’une charte des usages numériques et de la protection des données de la commune est un exemple concret de notre action, confie Pierre Barrial. Notre objectif est maintenant de la faire adopter par le plus de communes possible ».

La MEL a également passé un marché avec des prestataires extérieurs pour accompagner les communes dans leur cybersécurité, en particulier celles qui auraient été victimes d’attaques cybercriminelles. « Nous pourrons déclencher un bon de commande auprès du prestataire, avec des exigences de garantie dans les délais d’intervention, et nous ferons office d’intermédiaires, explique le RSSI. Les plus petites communes ne disposent en effet pas toujours des compétences en interne pour déterminer leurs besoins précis ».

Le marché, qui a été ouvert aux quatre-vingt-quinze communes de la MEL et à ses satellites, pourra également s’appliquer à d’autres prestations. Et déjà, un nouveau challenge se présente aux deux RSSI. « La directive NIS 2 élargit son champ d’application aux opérateurs essentiels, et notamment aux collectivités locales, indique Pierre Barrial. Nous allons donc devoir les informer des mesures de sécurité à mettre en œuvre et les accompagner ».