Cybermalveillance.gouv.fr, le dispositif de prévention et d’assistance aux victimes d’actes de malveillance dans le domaine numérique, vient de rendre publics les résultats d’une étude sur la cybersécurité des collectivités de moins de 3500 habitants, réalisée en fin d’année dernière. Il en ressort que 65 % d’entre elles (qui représentent tout de même 91% des communes de France) pensent que le risque cyber est faible sur leur territoire, voire inexistant, ou ne savent pas l’évaluer. Un résultat inquiétant quand on sait que les collectivités de toutes tailles sont devenues des cibles potentielles.
Les conclusions de cette étude rejoignent le constat dressé par la délégation aux entreprises et la délégation aux collectivités territoriales du Sénat, dans un rapport daté du 9 décembre 2021. Ce dernier soulignait le fait que les communes de moins de 3500 habitants, éloignées des radars de l’Anssi (Agence nationale de la sécurité des systèmes d’information), sous-estimaient les risques liées à la sécurité informatique.
L’Anssi avait tiré la sonnette d’alarme en 2020
Pourtant, le sujet n’est pas nouveau. En 2020, près de 30 % des collectivités territoriales avaient été victimes d’une attaque au rançongiciel, selon une étude du Clusif. Du reste, la même année, le nombre de cyberattaques contre des collectivités avait augmenté de 50 % par rapport à l’année précédente. En mai 2020, Guillaume Poupard, directeur général de l'Anssi, avait d’ailleurs tiré la sonnette d’alarme en se déclarant « inquiet pour la cybersécurité des collectivités territoriales ».
Serge Babary, sénateur d’Indre-et-Loire, membre de la commission aux affaires économiques et président de la délégation aux entreprises |
Aujourd’hui, de nombreuses petites communes ont déjà dû faire face à des dommages liés à des actes de cybermalveillance. Par exemple, dans certaines d’entre elles, les services de l’état civil ou encore les inscriptions dans les écoles ont été perturbées, dans d’autres ce sont les accès à un certain nombre de lieux publics (bibliothèques, piscines municipales…) qui ont dysfonctionné. Ailleurs, des équipements comme les bornes de paiement des stationnements se sont retrouvées hors service. Et, partout, le risque de pertes de données est réel.
« Mais, il est demandé aux petites communes d’avancer sur le chemin de la numérisation sans que personne ne les informe sur les risques associés », estime Serge Babary, sénateur d’Indre-et-Loire, membre de la commission aux affaires économiques et président de la délégation aux entreprises, « plusieurs sénateurs de différents territoires ont fait remonter cette difficulté ».
Pour aider les communes face à ces risques, le Sénat a listé une série de préconisations dans son rapport. Ainsi, la chambre haute souligne l’importance de sensibiliser les élus communaux et intercommunaux, ainsi que leurs services, aux enjeux de la cybersécurité et sur l'ampleur des menaces numériques. Le Sénat propose également d’appliquer le principe de subsidiarité en matière de politique de sécurité numérique.
7 CSIRT sont en service
« Les communes, quelle que soit leur taille, doivent pouvoir se protéger et être protégées face aux menaces cyber, elles doivent s’engager plus fortement dans la mutualisation de leur cyberdéfense », poursuit Serge Babary, « l’idée est de mettre les compétences nécessaires au bon endroit, c'est-à-dire au niveau de l’intercommunalité ». Les sénateurs suggèrent aussi de mettre en place des plans ou des procédures de continuité et de reprise d'activité en cas de survenance d'une crise d'origine numérique et de donner plus d’envergure à l’action des RSSI (Responsable de la Sécurité des Systèmes d'Information).
Parallèlement, l’écosystème de la cybersécurité est en train de s’adapter aux besoins des petites communes. L’inauguration du Campus cyber de la Défense en début d’année s’inscrit dans cette perspective, tout comme le déploiement des CSIRT (Computer Security Incident Response Team, ou centre de réponse aux incidents cyber régionaux), dont les 7 premiers ont été lancés. « L’État doit maintenant renforcer les moyens financiers de l’Anssi, et accélérer le déploiement des centres de réponse pour centraliser et mieux partager l’information sur les failles informatiques, afin de les corriger au plus vite et partout », résume Serge Babary. L’objectif, à terme, est d’implanter un CSIRT dans chaque département.