Depuis la crise du Covid, les autorités constatent une augmentation significative des cyberattaques touchant les collectivités territoriales1.
En raison de l’organisation très spécifique de l’Hexagone, avec ses 45 000 collectivités, et de leur proximité avec les citoyens, ces structures revêtent une grande importance politique, économique et sociale – ce qui explique qu’elles soient ciblées par les cybercriminels. Ainsi, 30 % des collectivités ont déjà été victimes d’un ransomware².
Comment aider les acteurs publics locaux à se mettre en conformité avec la réglementation relative à la cybersécurité, à préserver leurs systèmes d’information, et à mieux protéger les citoyens ?
Comme elle l’a fait récemment pour les TPE et PME, l’ANSSI a publié un guide de la sécurité numérique à destination des collectivités territoriales. Dans cet article, nous vous livrons les principales composantes de ce document incontournable.
La transformation numérique des collectivités territoriales et leurs obligations en matière de cybersécurité
La transformation numérique des collectivités répond à deux enjeux majeurs : d’une part, gagner en efficacité dans les services rendus aux citoyens, à travers des démarches et des formalités dématérialisées. D’autre part, se mettre en conformité avec les obligations réglementaires européennes et nationales.
Comme c’est déjà le cas pour l’État et pour les organismes considérés comme critiques (OIV et OSE), les SI des collectivités territoriales font l’objet d’un programme de protection prioritaire qui participe à la consolidation du modèle national de cybersécurité.
Le guide de l’ANSSI s’inscrit dans cette démarche : il livre aux élus et aux acteurs locaux les clés pour se mettre en conformité avec le cadre réglementaire et pour mieux prendre en compte les risques cyber. Deux axes essentiels que l’on retrouve dans la structure de ce document.
Le cadre réglementaire : forger un écosystème numérique plus sûr
La France s’est progressivement dotée d’un cadre réglementaire qui découle, à la fois, de directives européennes et d’initiatives nationales.
Appliqué aux SI des collectivités territoriales, ce cadre vise essentiellement à renforcer la confiance des usagers et à sécuriser les données personnelles, grâce à quatre textes principaux qui occupent la première partie du guide.
Renforcer la confiance des usagers : RGS et eIDAS
Le référentiel général de sécurité (RGS) est le premier texte français visant à sécuriser les échanges entre les administrations et avec les usagers.
Forgé en 2010 et révisé en 2014, le RGS définit les exigences de sécurité pour les systèmes d’information des collectivités qui mettent à la disposition de leurs usagers et des autorités administratives des téléservices servant à effectuer des démarches et à remplir des formalités.
Le RGS établit également un processus de qualification pour les prestataires de services de confiance sur lesquels les collectivités peuvent s’appuyer.
La signature électronique de confiance
Institutions publiques : simplifiez vos échanges avec une signature électronique conforme et sécurisée.
Le règlement eIDAS est un texte européen applicable aux organismes du secteur public dont les échanges avec les usagers se font par voie électronique.
Entré en vigueur en 2014, le règlement a vocation à créer un socle commun de sécurité pour toutes les interactions électroniques entre citoyens, autorités publiques et entreprises au sein de l’UE, à travers deux axes majeurs : l’identification électronique et les services de confiance.
Sécuriser les données personnelles : RGPD et HDS
Le Règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, est LE texte de référence quant aux mesures de précaution à mettre en œuvre pour la protection des données à caractère personnel des utilisateurs.
Dans ce cadre, il impose un certain nombre d’obligations, comme la nomination d’un Data Protection Officer ou l’analyse des risques. En France, il est complété par la loi informatique et libertés.
La certification Hébergement des données de santé (HDS) concerne spécifiquement ce type d’information considéré comme extrêmement sensible, dont l’accès est limité aux personnes autorisées.
Cette certification est requise pour tout organisme qui héberge des données de santé à caractère personnel pour le compte de personnes physiques ou morales, avec un grand nombre d’exigences pointues à appliquer.
Les recommandations de l’ANSSI : 7 fiches pour aider les collectivités à se mettre en conformité
La seconde partie du guide liste sept fiches pratiques destinées à apporter aux élus et aux acteurs locaux une aide concrète dans l’application de leurs obligations en matière de cybersécurité. Quelles sont ces fiches ?
- L’aide à la mise en œuvre des réglementations par les collectivités territoriales.
- La préparation à un incident de sécurité, via la mise en place d’un processus de gestion adapté.
- L’utilisation de la signature électronique pour les démarches administratives (une solution sécurisée qui nécessite de se procurer un certificat en amont).
- L’ouverture d’un téléservice dans le respect du RGS.
- L’ouverture d’un service numérique au public dans le contexte particulier d’eIDAS.
- Le recours à l’externalisation pour gérer tout ou partie du SI.
- La mise en œuvre d’un système de management de la sécurité de l’information dans le contexte HDS.
Cliquez sur ce lien pour télécharger le guide de l’ANSSI dédié à la cybersécurité des collectivités territoriales !
1Lire à ce propos l’article paru dans la Gazette des Communes, le 30 décembre 2022
²Étude du Clusif, juin 2020, citée dans une infographie de l’ANSSI.