Les cyberattaques dans les territoires et collectivités ne cessent de croître, alors même que ces institutions sont au cœur de leur transition numérique.
De janvier 2022 à juin 2023, l’ANSSI a traité 187 incidents concernant des collectivités, 89% d’entre elles disent avoir été la cible de cyberattaques.
Objectifs lucratifs, déstabilisation, compromissions en lien avec des opérations d’espionnage étatique, les motivations sont grandes pour les attaquants visant ces acteurs de premier plan, qui apparaissent parfois comme des proies faciles.
De plus en plus connectées, les collectivités territoriales françaises doivent faire face au défi toujours plus grand de la cybersécurité. Quelle importance revêt la menace du piratage informatique au sein des administrations locales à ce jour ? Et quels moyens peuvent-elles mettre en œuvre afin de s’en prémunir ?
État des lieux de la cybersécurité au sein des territoires français
Des collectivités conscientes des risques mais aux moyens limités
Selon une étude menée en 2023 par OpinionWay pour le compte de Cybermalveillance.gouv.fr, près d’une collectivité sur deux s’estime exposée aux menaces informatiques.
Toutefois, 65 % d’entre elles allouent moins de 5 000 € par an à leur budget IT. Par ailleurs, 75 % des élus dépensent moins de 2 000 € par an pour la protection numérique.
Ces chiffres sont à mettre en regard du coût estimé des cyberattaques sur les collectivités territoriales. D’après le centre régional de cybersécurité de Bourgogne-Franche-Comté (CSIRT), les piratages informatiques ont coûté près d’un million d’euros à la région au cours du dernier trimestre 2023.
Les enjeux multiples de la protection numérique
Le contraste entre l’impact potentiel des attaques informatiques sur les collectivités et le niveau de sécurité employé pour les contrer s’explique par différentes raisons.
À ce titre, la décentralisation des services de l’État et la multiplication des flux d’informations ont un impact considérable.
On estime en effet que 20 à 25 % des données détenues par les territoires sont de nature sensible ou critique.
La manipulation de ces données par les élus implique un accompagnement budgétaire et des compétences IT qui leur font souvent défaut.
20 % des collectivités déclarent ne pas être en mesure d’estimer leur exposition aux risques informatiques. (Enquête OpinionWay)
Il est aussi à noter que les petites entités sont de plus en plus touchées par les piratages. En effet, les villes moyennes sont généralement moins protégées et donc plus vulnérables face aux hackers.
De nombreuses réglementations entourent le sujet de la cybersécurité afin de permettre aux collectivités d’asseoir leur souveraineté numérique.
Dernière en date, la directive NIS 2, adoptée au Parlement européen, devra s’appliquer aux communes de plus de 30 000 habitants. Cette nouvelle réglementation entrera en vigueur en France au plus tard au deuxième semestre 2024.
Denis Thuriot, président de l’association Mission Ecoter, œuvre notamment dans le but d’accompagner les collectivités dans leurs transformations numériques.
Particulièrement engagé dans les thématiques de l’innovation et de la cybersécurité, il reconnaît les challenges auxquels font face les collectivités en matière de sécurité informatique tout en mettant en avant la responsabilité des élus dans ce domaine.
Également maire de Nevers, Denis Thuriot a ainsi investi 250 000 € dans un plan de sécurisation sur trois ans, affichant clairement la protection numérique comme une priorité.
Bonnes pratiques et solutions en matière de sécurité informatique
La vigilance de l’utilisateur : un point déterminant
La grande majorité des brèches de cybersécurité (68 à 70 % des cas) est causée par une erreur humaine : en général l’ouverture d’un mail frauduleux.
Webinar : sécurité numérique pour les territoires et collectivités
Découvrez comment renforcer la sécurité informatique au sein des territoires et collectivités locales.
À ce titre, la formation et l’acculturation des personnes sont de toute première importance. Parmi les actions à mettre en place au sein des institutions, nous pouvons noter :
- Élaborer une procédure écrite et acculturer les partenaires :
Les collectivités se doivent de sensibiliser leurs collaborateurs et partenaires aux risques. Par exemple, l’organisation de fausses campagnes de phishing au sein des administrations locales et des organisations prestataires est un moyen d’avertir sur l’une des pratiques frauduleuses les plus courantes sur Internet.
- Limiter les usages pro/perso des équipements informatiques :
Selon le rapport OpinionWay, 62 % des élus et des agents déclarent utiliser des équipements personnels dans le cadre du travail, multipliant ainsi les risques de piratage. Cet aspect est particulièrement critique depuis la pandémie du Covid-19 et la généralisation du télétravail.
- Inciter les agents à modifier leurs mots de passe régulièrement :
Trop souvent négligée, cette pratique est pourtant cruciale pour la sécurité des données. Le site cybermalveillance.gouv.fr a publié un article sur la manière de bien gérer ses mots de passe.
- Automatiser les mises à jour :
L’opération de mise à jour est souvent ressentie comme une contrainte, elle est pourtant essentielle pour corriger les failles de sécurité des logiciels et des appareils numériques. Pour éviter qu’elles ne soient constamment repoussées, certains logiciels peuvent être configurés de manière à les automatiser ou les programmer lors de périodes d’inactivité.
- Éteindre les ordinateurs la nuit :
C’est un geste simple qui permet de limiter la vulnérabilité des postes de travail face aux attaques. Par ailleurs, la mise hors tension permet de préserver les composants électroniques des ordinateurs et de diminuer les factures d’électricité.
La création d’un espace de travail sécurisé
Outre la formation des collaborateurs et la mise en place de bonnes pratiques au sein des collectivités, des solutions techniques existent afin de sécuriser les espaces de travail comme la digital workplace.
Oodrive : la suite collaborative souveraine
Unique éditeur SaaS qualifié SecNumCloud depuis 2019
Oodrive est le seul acteur européen à avoir reçu la qualification SecNumCloud pour son offre SaaS. Ce label désigne le plus haut niveau de sécurité délivré par l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).
La suite collaborative proposée par Oodrive comprend quatre solutions hébergées sur un cloud sécurisé :
- Oodrive work : permet de centraliser, éditer et partager des données sensibles, en interne et avec des partenaires.
- Oodrive meet : assure la numérisation des réunions de gouvernance et des documents associés en toute confidentialité.
- Oodrive sign : en conformité avec la réglementation eIDAS, cet outil permet la signature à valeur probante de documents en face-à-face ou à distance.
- Oodrive save : sécurise la gestion des sauvegardes ainsi que la récupération de données perdues.
À ce jour, la cybersécurité nécessite encore des efforts et des investissements pour les collectivités, notamment en termes de formation et d’acculturation. De nature à impacter le fonctionnement des administrations à tous les niveaux, elle présente un aspect transversal dans la politique publique. Pour Denis Thuriot, maire de Nevers, la protection numérique ne doit cependant pas être vue sous le seul aspect sécuritaire. À l’image du projet de territoire intelligent actuellement en cours de développement sur l’agglomération neversoise, elle est aussi une véritable opportunité dans le cadre de la stratégie d’attractivité des collectivités.