Les petites communes minimisent encore trop souvent le risque cyber

Ces derniers mois, les collectivités de toutes tailles sont devenues de plus en plus souvent des cibles d’actes de cybermalveillance : rançongiciels, systèmes d’information bloqués, missions au service de leurs administrés interrompues… « Un incident de sécurité numérique peut se produire à tout moment et dans n’importe quelle collectivité », rappelle le site gouvernemental Cybermalveillance.gouv.fr qui est un dispositif de prévention et d’assistance aux victimes d’actes de malveillance dans le domaine numérique. Il vient de publier une enquête sur ce risque dans les communes de moins de 3500 habitants. Menée fin 2021, elle vise à comprendre les usages numériques, identifier les risques/freins et comprendre les besoins dans ce type de collectivités.

Mélange des usages professionnels et personnels
Selon l’enquête, 77% des petites communes disposent d’un parc informatique réduit (moins de cinq postes). De même 77% externalisent la gestion de leur informatique, le plus souvent à un prestataire extérieur. Constat inquiétant : 65% pensent que le risque est faible, voire inexistant, ou ne savent pas l’évaluer. Elles ne sont donc que 35% à identifier un risque élevé ou très élevé, mais elles s’interrogent sur les moyens pour y pallier (budgets, outils, ressources humaines). Néanmoins, 49% ont identifié des risques de perte de données et de blocage des services (état civil, école, social, urbanisme, financier).
Par ailleurs, le partage de mots de passe ou le mélange des usages professionnels et personnels sont des usages numériques à risques régulièrement pratiqués. 44% des élus utilisent leurs outils numériques personnels (téléphone/ordinateur/messagerie) dans un cadre professionnel, notamment lorsqu’ils exercent plusieurs mandats électifs ou une activité professionnelle en parallèle. Concernant les agents, 39% déclarent mélanger leurs usages professionnels et personnels.

Un sentiment d’impuissance
Pour les collectivités conscientes des risques, elles se sentent totalement désarmées. Ainsi, elles ne savent pas vers qui se tourner, ont du mal à évaluer la maturité cyber de leur collectivité ou trouvent la réglementation complexe.
Autre enseignement de l’enquête : les deux tiers des répondants déclarent n’avoir pas été sensibilisés à la sécurité numérique. Il ressort aussi que les personnes interrogées n’ont pas connaissance du cadre juridique en vigueur, à l’exception du RGPD (règlement général sur la protection des données). La majorité ne connait pas non plus les dispositions relatives aux compétences et aux responsabilités des collectivités et des élus en matière de sécurité numérique. En outre, ils ne sont pas familiers de l’écosystème cyber et des acteurs de l’Etat existants : Cybermalveillance.gouv.fr, ANSSI (Agence nationale de la sécurité des systèmes d’information), ministère de l’Intérieur…

Le Sénat plaide pour « agir plus vite et plus fort »
Réagissant à l’étude de Cybermalveillance.gouv.fr, les Délégations aux entreprises et aux collectivités du Sénat estiment que le constat dressé rejoint le leur dans le cadre d’un rapport publié en décembre dernier. Serge Babary, président de la Délégation aux entreprises, plaide pour que les communes mutualisent davantage leur cyberdéfense. Autres propositions : le renforcement par l’Etat des moyens financiers de l’ANSSI et l’accélération du déploiement des centres de réponse aux incidents cyber-régionaux (CSIRT) dont les sept premiers ont été lancés. 
Pour Françoise Gatel, présidente de la Délégation aux collectivités territoriales, il faut aider les collectivités à prendre la mesure de la menace en lançant un programme de sensibilisation et de formation. Elle préconise également de mettre en place dans les collectivités, aux échelles pertinentes selon les cas (communes, intercommunalités, départements), des plans ou des procédures de continuité et de reprise d'activité en cas de survenance d'une crise d'origine numérique. Par ailleurs, Françoise Gatel défend la revalorisation des fonctions de RSSI (responsable de la sécurité des systèmes d'information).

(1) 524 répondants ont participé à l’étude, dont 93 % d’élus et 7 % d’agents.

Pour aller plus loin : voir le replay du webinaire « Cyberattaques : que peuvent faire les collectivités face à la menace ? », organisé par ZePros Territorial et Innopolis Expo.