Collectivité territoriale et risque cyber : une menace invisible qu'il faut absolument mettre en lumière !

Les risques des collectivités territoriales en matière de sécurité informatique, et les mesures qui doivent être prises, jusqu'au plus haut niveau de l'Etat, pour protéger nos communes et citoyens.

Les communes et intercommunalités sont engagées, comme le reste de la société, dans une profonde transformation numérique. Une transformation source de formidables opportunités : amélioration de la qualité des services en faveur des administrés, mutualisation et réduction des coûts, gain en notoriété et meilleure visibilité de l’action municipale et, plus largement, de l’action publique... Mais elle est aussi source de risques : défiguration de sites Internet, compromission de comptes de messagerie et réseaux sociaux, vol de données sensibles, à caractère personnel, ou encore rancongiciels, pour ne citer que les plus visibles. Les collectivités sont ainsi devenues ces dernières années, du fait d’une maturité à la sécurité numérique encore à développer, des organismes jugés accessibles aux yeux d’acteurs malveillants, et donc inévitablement les cibles d’attaques de plus en plus nombreuses. Alors que l’attention est aujourd’hui centrée sur les établissements de santé, comme le prouve la littérature florissante autour des attaques informatiques d’hôpitaux, il est essentiel de prendre en compte les besoins de ces acteurs territoriaux, en manque de moyens humains et financiers pour assurer comme il se doit la sécurité de leurs systèmes d’information.

Collectivités territoriales : cibles privilégiées des cybercriminels, en pleine de prise de conscience…

Le risque numérique est une réalité prise de plus en plus au sérieux au sein des collectivités, tant de la part des élus que des cadres et agents territoriaux. Néanmoins, la prise de conscience récente des enjeux liés à l’hygiène informatique et le développement nouveau de la culture de la sécurité numérique des personnels des communes et intercommunalités font encore de ces dernières des cibles faciles d’accès et donc privilégiées des cybercriminels. Car après avoir réalisé l’importance du sujet, il est complexe pour ces acteurs publics d’évaluer précisément les risques, de prioriser les mesures à mettre en œuvre, d’identifier et de mobiliser les ressources adéquates. Les communes, quelle que soit leur taille, peuvent ainsi être la cible d’attaques informatiques. Ces cyberattaques peuvent utiliser des vulnérabilités techniques, juridiques, organisationnelles ou humaines aussi bien externes (site internet, téléphone...) qu’internes (élus, agents, prestataires, clés USB, mots de passe faibles...).

Or, ces situations de crise peuvent avoir un impact important, d’une part sur l’activité des collectivités, et d’autre part sur les informations qu’elles détiennent telles que les données d’état civil des habitants, les données bancaires des usagers, les données de santé des agents... La prévention, la préparation à la gestion de crise et l’existence de plans de continuité d’activité sont ainsi cruciales. Incapacité à réaliser la mission de service public suite à l’indisponibilité ou le sabotage complet du système d’information de la collectivité ; non-respect des obligations légales engageant la responsabilité juridique des élus ; pertes financières importantes… lorsque survient une attaque, les conséquences sont nombreuses et parfois de grande ampleur. Outre l’impact sur l’image de la commune et l’atteinte à la confiance de ses administrés, c’est la responsabilité même de l’élu qui peut être engagée.

Devant les risques d’attaques accrus et les usages numériques qui se développent, notamment avec le télétravail, on ne peut que recommander aux communes et intercommunalités d’investir pour développer la protection de leur système d’information et se prémunir contre un sinistre numérique. L’impact opérationnel et le coût associé de ces attaques sont autant d’arguments qui doivent les amener à se saisir du sujet dès à présent, si ce n’est déjà le cas, et renforcer leur sécurité informatique. Mais pour une collectivité, sécuriser son système d’information se construit grâce à un investissement en moyens humains, financiers et techniques… et c’est souvent là que le bât blesse.

… mais sous-dotées en moyens financiers et humains pour garantir leur sécurité

Dans le cadre du plan France Relance, l’ANSSI a bénéficié d’une enveloppe de 60 millions d’euros pour renforcer la sécurité informatique des collectivités sur la période 2021-2022. L’objectif annoncé était d’élever significativement et durablement le niveau de sécurité de ces dernières, ce en leur donnant l’impulsion financière nécessaire. Cela s’est concrétisé par des dispositifs visant à cofinancer des projets et parcours de cybersécurité des systèmes d’information existants, et par un accompagnement financier et méthodologique à la création de centres régionaux de réponse à des incidents cyber (CSIRT). Ainsi, ce volet de France Relance, s’il est à souligner positivement, a été fondé en partie sur la capacité de ses bénéficiaires à poursuivre les actions dans la durée. Mais comment ? Une fois les faiblesses identifiées et les priorités définies, avec quels moyens passer concrètement à l’action, notamment pour les plus petites communes de notre territoire ? Car outre le manque de budget - qui risque encore de diminuer face à la hausse des charges des collectivités (liées à l’inflation et à l’augmentation des prix des matières premières et de l’énergie) – elles sont également confrontées à un manque de moyens humains. Comment trouver des talents motivés pour devenir RSSI d’une collectivité alors que le marché de l’emploi est extrêmement tendu sur ce secteur et porteur d’offres dont les missions et la rémunération sont bien plus attrayantes ?

Le travail de l’ANSSI s’arrête à ce jour au fait d’émettre des recommandations, voire des exigences, alors même que notre police cyber est réduite à sa plus simple expression. Pourtant la déferlante d’attaques ciblant les collectivités est aujourd’hui un véritable problème de société en ce qu’elle touche in fine à la sécurité des biens et des personnes. Ne serait-ce donc pas un sujet régalien ? La situation est ubuesque si on la transpose à la sécurité physique : cela revient à demander aux collectivités d’être aussi efficaces que le GIGN pour réaliser un travail de sécurisation en lieu et place de l’État… Ce dernier doit traiter le problème à la source à travers de véritables actions de police cyber et ne pas seulement agir sur les conséquences, tel un pompier désemparé. L’erreur cependant serait de légiférer et de mettre en place des moyens de coercition à l’encontre des collectivités dont l’hygiène informatique ne serait pas suffisante. La clé du problème réside plutôt tout à la fois dans l’incitation et la mutualisation. L’incitation pourrait passer par le conditionnement des aides de l’État à la garantie d’un paysage « propre » du système d’information de la commune. Des subventions seraient ainsi accordées aux collectivités en fonction d’un certain nombre de critères de sécurité. La mutualisation peut notamment passer par les CSIRT évoqués plus haut qui aident les organismes à répondre aux incidents qu’ils subissent. Néanmoins, elle doit également être pensée en amont d’une attaque, par exemple au travers des EPCI, notamment via la création de postes partagés de RSSI ou de DPO, dont les titulaires trouveraient enfin un intérêt dans leurs missions au regard de leur diversité. Une expertise, qui plus est, que les plus petites communes ne peuvent acquérir seules. Au-delà de l’échelle intercommunale, l’agrégation des ressources autour d’un centre territorial qui disposerait d’une maturité reconnue en matière de sécurité numérique est à encourager. Autour de ce centre de ressources, le regroupement de fonctions métier existantes (notamment DSI) et un renforcement des métiers de la cybersécurité devront être encouragés au travers de mécanismes financiers (mutualisation des budgets et si la possibilité existe d’un abondement de ceux-ci). L’évolution de structures déjà existantes ou la création de celles-ci en Centre de ressources numériques territorial (CRNT) correspondraient à ce principe de mutualisation recherché.

Nous l’avons dit, la santé est sur le devant de la scène médiatique en termes d’actualités cyber, mais ce domaine a également beaucoup à nous apprendre sur ces points que sont l’incitation (avec les programmes Hôpital Numérique et HOPEN) et la mutualisation (via les ARS notamment). Alors inspirons-nous et passons collectivement à l’action, car il est grand temps de mieux sécuriser nos collectivités !