Avant-propos« Les collectivités de toutes tailles sont devenues des cibles d’actes de cybermalveillance de plus en plus nombreux (systèmes d’information bloqués, missions au service de leurs administrés interrompues, etc.). Un incident de sécurité numérique peut se produire à tout moment et dans n’importe quelle collectivité » (Rapport d'activité 2021 de la plateforme Cybermalveillance)Depuis 2017, le dispositif national de sensibilisation, prévention et assistance aux victimes d’actes de cybermalveillance est porté par le Groupement d’intérêt public (GIP) ACYMA. Ce groupement rassemble, outre l’Agence nationale de la sécurité des systèmes d'information (ANSSI), l’Agence nationale de cohésion des Territoires (ANCT) et les principaux ministères, des acteurs de la société civile (associations de consommateurs ou d’aides aux victimes, représentations professionnelles de type fédération ou syndicat, assureurs, opérateurs, éditeurs de logiciels) et des représentants des collectivités.Le Gouvernement, via le plan France Relance, a alloué une enveloppe de 136 millions d’euros sous le pilotage de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), pour augmenter la cybersécurité des services publics et des collectivités territoriales.Deux dispositifs sont d’ores-et-déjà en place : les parcours de cybersécurité et le programme d’incubation de centres régionaux de réponse à des incidents cyber (CSRIT) qui s’adresse aux régions.Un nouveau dispositif, destiné lui aux communes et communautés de communes les plus petites vient compléter le dispositif : les aides aux collectivités transiteront par les structures de mutualisation numérique, seules habilitées à candidater à l’appel à projets lancé le 24 mars 2022 par l’ANSSI.
SommaireCollectivités : les rançongiciels en tête des recherches d’assistance sur la plateforme CybermalveillanceUne inégale préparation des collectivités face aux risquesUn programme de sensibilisation à destination des élusDes parcours de cybersécurité, dans le cadre du Plan de Relance, à l'intention des collectivitésDes centres régionaux de réponse à incident cyberUn nouveau dispositif pour soutenir l’acquisition et le déploiement de produits et services de cybersécurité dans les collectivitésLe Sénat encourage la mutualisation des moyens à une échelle intercommunale ou départementale
Collectivités : les rançongiciels en tête des recherches d’assistance sur la plateforme CybermalveillanceLa plateforme Cybermalveillance.gouv.fr permet aux victimes d’un acte de cybermalveillance de demander une assistance et de prendre connaissance de la marche à suivre. Après avoir rempli un questionnaire, la victime est orientée vers les prestataires de proximité susceptibles de répondre à son besoin technique.La plateforme Cybermalveillance a enregistré 173 000 demandes d'assistance en 2021 : en progression de 65% (la progression avait été +155 % en 2020, toutes victimes confondues). 2% de ces demandes d'assistance provenaient de collectivités.
Pour les collectivités, les rançongiciels figuraient, en 2021, en première place dans les recherches d’assistance : en légère progression par rapport à 2020 (+5 %). De même, l’hameçonnage progresse considérablement pour les collectivités en passant de la 5e à la 2e place, en progression de +60 %.Le piratage de compte en ligne conserve sa 3e place, avec toutefois une croissance +50 % par rapport à l’année précédente. Quant aux violations de données personnelles, elles progressent en 2021 et passent de la 9e à la 4e place, en hausse de +75 %.En 2021, 2 100 collectivités et administrations ont bénéficié d'une assistance en ligne : un volume globalement stable par rapport à l’année précédente qui avait été une année de très forte progression. La forte pression de la cybermalveillance dans les collectivités ne faiblit pas depuis maintenant deux ans, conclut le de la plateforme.rapport d'activité
Une inégale préparation des collectivités territoriales face aux risques6 collectivités sur 10 disent avoir mis en œuvre des mesures en faveur de la cybersécuritéFrance Urbaine a réalisé, début 2021, un baromètre de la maturité du numérique dans les métropoles auprès de 12 métropoles, 10 agglomérations et communautés urbaines et 12 villes représentant au total un ensemble de près de 18 millions d’habitants).Selon cette enquête, « plus de 6 collectivités sur 10 disent avoir mis en œuvre des mesures en faveur de la cybersécurité ». De son côté, la FNCCR a conduit en 2021 une étude sur la
« Dans 4 collectivités sur 10, le sujet de la sécurité informatique n’est toujours pas porté au plus haut niveau et ne s’inscrit pas dans une gouvernance globale. De plus, à peine la moitié des collectivités commence à avoir une vision complète et actualisée des risques liés au numérique . Les dispositifs de PCA (poursuite et continuité de l'activité) et PRA (poursuite et reprise de l'activité) ont été mis en œuvre de manière complète dans uniquement 3 collectivités sur 10 ».FNCCR : Seules 12 % des collectivités appréhendent les enjeux de la cybersécuritécybersécurité des villes et territoires intelligents.« »Face aux risques croissants associés, les auteurs de l'étude constatent« un niveau de compétences et les moyens varient sensiblement selon le profil des collectivités, mais restent nettement insuffisants. Seulement 12 % des structures interrogées ont connaissance de mécanismes juridiques concrets pour répondre aux enjeux de cybersécurité ».« Les enjeux de cybersécurité ne sont pas encore systématiquement intégrés à la conception des projets de développement du numérique et de territoires intelligents dans la majorité des collectivités. Ainsi, 84% des collectivités interrogées ne perçoivent pas la cybersécurité comme un frein au lancement de projets smart, ou n’ont pas d’avis sur la question ».« Les impacts constatés ou ressentis ne sont pas toujours facilement quantifiables en termes de coûts pour les collectivités. Les impacts en termes de confiance et de réputation sont ainsi non quantifiables, mais peuvent être très forts pour une collectivité ».
À ce jour, la prise de conscience du risque cyber au sein des collectivités interrogées est encore inégale. Ceci peut s’expliquer par plusieurs facteurs : observent les auteur.trice.s de l'étude. a conduit une fin 2021 auprès des collectivités de moins de 3 500 habitants, qui représentent 91 % des communes en France, afin de comprendre les usages numériques, identifier les risques/freins et comprendre les besoins dans ce type de structure pour apporter des réponses utiles et concrètes.L’appropriation de la thématique cybersécurité par les élu.e.s des collectivités est parfois incomplète, car le sujet est encore trop perçu comme purement technique et ne devant impliquer que certains acteurs spécialisés ;Les enjeux de cybersécurité au sein d’une collectivité sont souvent traités en silos, avec un manque de vision transversale entre les directions métiers ;Le travail d’acculturation et de sensibilisation des agents des collectivités aux risques de cyberattaques ne semble pas prioritaire dans beaucoup de collectivités ;Les collectivités de plus grande taille semblent avoir une meilleure compréhension du risque en matière de cybersécurité et, d’une manière générale, les petites et moyennes collectivités sous estiment les risques, pensant être « » ;trop petites pour être attaquéessecurity by design« Le facteur humain est encore trop souvent mis en cause dans les collectivités, Un travail profond et à toutes les échelles de sensibilisation aux enjeux de la cybersécurité est donc nécessaire : formation, diffusion des bonnes pratiques, culture de la vigilance au quotidien, etc. Cette sensibilisation doit s’adresser à tous pour décloisonner le sujet de la cybersécurité, qui ne concerne plus exclusivement les techniciens mais l’ensemble des acteurs utilisant le numérique au sein de la collectivité ».La cybersécurité n’est pas intégrée en anticipation comme enjeu majeur dans les projets de villes et territoires intelligents dès la conception des projets ().La cybersécurité dans les collectivités de moins de 3 500 habitantsCybermalveillance.gouv.frenquêteParmi les axes majeurs qui ressortent de l’étude :77 % des collectivités ont un parc informatique réduit (moins de 5 postes informatiques) ;77% externalisent la gestion de leur informatique ;65 % pensent que le risque est faible, voire inexistant, ou ne savent pas l’évaluer ;le partage de mots de passe ou le mélange des usages professionnels et personnels sont des usages numériques à risques régulièrement pratiqués ;des freins à la sécurité numérique.
Un programme de sensibilisation à destination des élu.e.sFace à la recrudescence des cyberattaques contre les collectivités territoriales, Cybermalveillance.gouv.fr a créé un groupe de travail dédié à ce public composé de l'ANSSI, l' Avicca, la Banque des Territoires, le CoTer Numérique et Déclic, et lancé un programme de sensibilisation à destination des élus.Il comporte trois étapes :Menaces et réflexes essentiels pour la sécurité numérique des collectivités : Cybermalveillance.gouv.fr répond aux questions de deux maires sur les principales menaces numériques rencontrées par les collectivités et leurs conséquences, en apportant des conseils sur les premiers gestes essentiels à adopter en sécurité numérique.Vigilance face aux cyberattaques : Le site publie des témoignages de communes victimes de différentes formes de cyberattaques, suivis de conseils pour permettre aux collectivités de mieux s'armer et anticiper les risques.Sensibilisation aux risques numériques : La plateforme cybermalveillance propose aux collectivités une série de ressources.Vidéos de sensibilisation sur les risques numériquesTrois fiches : gestion mots passe, usages élus/pro/perso, hameçonnageDes supports pour résumer les premiers gestes en cas de cyberattaqueun auto-diagnostic rapide pour aider les élusdes guides pratiques en cybersécurité
Des parcours de cybersécurité, dans le cadre du Plan de Relance, à l'intention des collectivitésDans le cadre de France Relance, le Gouvernement a alloué 1,7 milliard d’euros d’investissements à la transformation numérique de l’État et des territoires. Ce plan intègre un « volet cybersécurité », piloté par l’Agence nationale de la Sécurité des Systèmes d'Information (ANSSI), qui s’élève à 136 millions d’euros sur la période 2021-2022.« Les parcours cyber, rappelle l’ANSSI, sont ouverts à des entités publiques volontaires, disposant d'un système d'information de quelques dizaines de machines, d'un référent pour la sécurité des systèmes d'information et s'engageant à utiliser au moins 5% de leur budget informatique à leur cybersécurité. »L’ANSSI a conçu les parcours pour qu’ils puissent être « industrialisés » et confiés à des prestataires privés, chaque entité devant pouvoir bénéficier « d’un accompagnement homogène et de prestations de qualité».Chaque parcours comporte trois phases : un pré-diagnostic sur le niveau de maturité cyber de la structure pour bien calibrer les interventions, un « pack initial » comprenant un audit de sécurité, des actions de sensibilisation et la conception d’un plan de sécurité. Des actions complétées si besoin par un « pack relais » pour l’installation de matériels ou de logiciels complémentaires.Au 31 décembre 2021, 626 structures, pour plus de 990 candidats, avaient bénéficié d’un parcours cyber, plus de 54 prestataires ayant été sélectionnés par l’agence pour les conduire sur le terrain.
Des centres régionaux de réponse à incident cyberL’ANSSI accompagne sept régions dans la mise en place d’un centre régional de réponse à incident cyber.Ces CISRT (Computer Security Incident Response Team) auront vocation à sensibiliser et à former les acteurs locaux aux bonnes pratiques cyber. Ils aideront ensuite à faire remonter les incidents cyber. Leurs expert.e.s aideront les victimes à qualifier les incidents afin de les mettre en relation avec les structures les plus adaptées pour les accompagner dans leur résolution.« S’appuyant sur la compétence de développement économique et social dévolue aux régions, l’ANSSI apporte un soutien financier via l’octroi d’une subvention à hauteur d’un million d’euros à chaque région volontaire et un accompagnement méthodologique sous la forme d’un programme de formation de 4 mois. Cette incubation permettra aux CSIRT régionaux d’être rapidement opérationnels pour répondre de manière pertinente et efficace aux besoins identifiés, tout en s’intégrant pleinement à l’écosystème territorial et national. A terme, l’objectif est la mise en réseau des CSIRT régionaux au sein de l’InterCERT France – le réseau français des CSIRT – afin de créer en son sein un groupe de coopération et de partage dédié à leurs enjeux territoriaux ».
Un nouveau dispositif pour soutenir l’acquisition et le déploiement de produits et services de cybersécurité dans les collectivitésDans le cadre du volet cybersécurité de France Relance, l’ANSSI a lancé un nouveau dispositif pour soutenir l’acquisition et le déploiement de produits et services de cybersécurité dans les collectivités territoriales. Ce déploiement interviendra au travers des structures territoriales en charge de la gestion numérique des collectivités : opérateurs de services numériques, syndicats mixtes ou centres de gestion porteront donc les projets au profit de leurs adhérents.Au delà du parcours de cybersécurité, ce nouveau mécanisme est destiné en priorité à aider les communes et communautés de communes les plus petites.Son but : soutenir l’acquisition, par les structures en charge de la transformation numérique des collectivités, de produits et services mutualisés pour leurs adhérents. Ces produits et services doivent renforcer le niveau de cybersécurité des structures bénéficiaires de manière simple et en adéquation avec leurs besoins immédiats de cybersécurité.Le dispositif est accessible aux structures de mutualisation en charge de l’accompagnement à la transformation numérique des collectivités territoriales. Seuls les structures publiques, associatives ou les groupements d’intérêt public pourront être subventionnés.
Le Sénat encourage la mutualisation des moyens à une échelle intercommunale ou départementaleLa délégation aux collectivités territoriales du Sénat a publié le 9 décembre son compte rendu d’une table ronde consacré au défi de la cybersécurité. Le rapport de la délégation souligne l'ampleur du risque cyber pour toutes les organisations territoriales, comme l’indique une carte réalisée par la plateforme Cybermalveillance.Localisation des demandes d'assistance (Source : Sénat 2022, Acyma, 2021)Malgré des campagnes de sensibilisation, la prise de conscience des élu.e.s est « inégale et insuffisante », observent les rapporteur.e.s. « Faute de temps mais également de compétences et de ressources humaines qualifiées, les petites communes se contentent parfois d'installer ponctuellement un anti-virus, alors que la cybersécurité doit être mise à jour en permanence ».Constatant que seules les grandes collectivités bénéficient d’un accompagnement de la part de l’ANSSI, la Délégation du Sénat préconise la mutualisation des moyens à une échelle intercommunale ou départementale. « Dans ce contexte, la mutualisation au plus près des collectivités concernées s'avère être un choix judicieux pour mettre en commun les efforts, affronter les pénuries de professionnels qualifiés et ainsi mettre en place une protection collective ». Elle pointe toutefois « les freins psychologiques » auxquels pourrait se heurter cette mutualisation.La délégation du Sénat formule, en conclusion, une série de recommandations« Sensibiliser les élus communaux et intercommunaux ainsi que leurs services aux enjeux de la cybersécurité.Appliquer le principe de subsidiarité en matière de politique de sécurité numérique : deux critères doivent être pris en compte pour apprécier le niveau pertinent d'intervention : la soutenabilité financière et la technicité requise. Ce principe permettrait aux petites collectivités, identifiées comme des « maillons faibles », de bénéficier, par l'effet de la mutualisation, d'une protection numérique renforcée. L'échelle de pertinence doit être appréciée in concreto selon les réalités territoriales. Il peut s'agir du niveau soit intercommunal soit départemental. Cette recommandation suppose toutefois de lever les freins psychologiques tenant à la sensibilité des données des communes et à la crainte corrélative du transfert de ces dernières.Mettre en place des plans ou des procédures de continuité et de reprise d'activité en cas de survenance d'une crise d'origine numérique: mesures d'urgence à prendre, prestataires à contacter, notification aux autorités publiques telles que la CNIL et l'ANSSI...).Revaloriser les fonctions de RSSI (responsable de la sécurité des systèmes d'information) dans les collectivités d'une certaine taille. Il s’agit d'en faire un véritable « directeur de la Sécurité numérique » dont les fonctions ne doivent pas perçues comme uniquement techniques. Le caractère stratégique de cette fonction doit se traduire dans la rémunération proposée ainsi que dans l'organigramme des services (rattachement à la Direction générale par exemple) ».
