Une table ronde a été organisée hier par la Commission spéciale résilience cybersécurité du Sénat avec les représentants des différents échelons des collectivités locales pour évoquer le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, présenté officiellement en octobre dernier et depuis en attente d’examen par le Parlement.

Le projet de loi de transposition de la directive européenne « NIS 2 »  a été présenté en Conseil des ministres début octobre (lire Maire info du 18 octobre). 1 489 collectivités territoriales et 992 communautés de communes métropolitaines et d'outre-mer devraient être concernées par ces nouvelles règles en matière de cybersécurité. La transposition de la directive sera examinée au sein du projet de loi « visant à renforcer les dispositifs nationaux de sécurisation des activités d’importance vitale et de lutte contre les menaces cyber »  dès le 11 mars au Sénat. 

Ainsi, plus d’un mois avant le début de son parcours législatif, les représentants des collectivités (communes, intercommunalités, département et régions) ciblées par la directive ont pu rappeler que s’ils partagent l’ambition d’un renforcement de la cybersécurité, des inquiétudes subsistent sur au texte qui arrive au Sénat. 

« Tenir compte de la réalité des communes et EPCI » 

« Quand on n’est pas un élu local, on ne peut pas tout mesurer », rappelait en octobre dernier Anne le Henanff, députée du Morbihan et rapporteure d’un rapport sur les enjeux de la transposition de la directive « NIS 2 »  de la Commission supérieure du numérique et des postes (CSNP) (lire Maire info du 4 octobre). C’est dans ce cadre que la voix des collectivités est entendue : afin d’éviter les effets de bord indésirables. 

 « Le législateur doit tenir compte de la réalité des communes et EPCI afin que la mise en œuvre [de la directive NIS2] soit supportable et faisable », a indiqué hier Michel Sauvade, coprésident de la commission numérique de l’Association des maires de France et des présidents d'intercommunalités (AMF).

Le projet de loi prévoit que les entités essentielles et les entités importantes devront, selon leur classification, répondre à certaines obligations. Les régions, les départements, les métropoles, les communautés urbaines et d’agglomérations et les communes d’une population supérieure à 30 000 habitants correspondent au spectre des « entités essentielles »  (elles auront davantage d’objectifs à remplir que les entités importantes). Pour les entités importantes, sont notamment concernés « les communautés de communes et leurs établissements publics administratifs ». La ministre Clara Chappaz, auditionnée la semaine dernière, avait précisé que « l’immense majorité des communes ne seront concernées que par leur intercommunalité de rattachement »  (lire Maire info du 29 janvier). 

Coûts et emplois

De nombreuses inquiétudes ont été soulevées hier au Sénat. D’abord, du côté de l’AMF, on s’inquiète des « conditions dans lesquelles les collectivités vont devoir mettre en œuvre les nouvelles obligations dont on sait qu’elles seront coûteuses d’un point de vue financier mais aussi en termes humain et matériel ». Tous les représentants des collectivités ont regretté l’absence d’une étude d’impact pour qualifier les risques, les menaces, les coûts financiers, administratifs des attaques. Il est en effet particulièrement complexe d’estimer le coût que pourraient avoir ces nouvelles obligations. 

Une incertitude qui inquiète d’autant plus que les prévisions faites localement paraissent très importantes. Pour la région Bretagne par exemple, Jérôme Tré-Hardy, conseiller régional, indique que selon des estimations internes, ce sont « plusieurs millions d’euros de budget qui devraient être alloués aux systèmes d’informations pour se mettre au niveau de ce qui va nous être demandé », alors même que la région est très avancée sur ces questions de cybersécurité. Par ailleurs, ces nouvelles dépenses risquent de peser lourd dans « le contexte d’incertitudes financières actuel que connaissent les collectivités », renchérit Michel Sauvade.

Localement, les moyens humains manquent aussi. La tension sur les métiers cyber est de plus en plus importante et les collectivités rencontrent de grandes difficultés dans le recrutement de ce type de professionnels. Ils sont pourtant une ressource indispensable à la réussite de NIS 2. Par exemple, au niveau du département des systèmes d'information du département du Puy-de-Dôme, 23 départs ont été observés dans les trois dernières années, pour seulement 12 recrutements récents et 11 postes toujours à pourvoir. « C’est un enjeu de fonctionnement au quotidien », témoigne Michel Sauvade, en sa qualité vice-président du Conseil départemental, qui dénonce notamment la concurrence avec le privé.

Besoin d’accompagnement 

Pour pouvoir respecter de nouvelles obligations, encore faut-il savoir qu'elles existent. Les représentants de collectivités déplorent unanimement le manque de sensibilisation mené sur le sujet NIS 2. Constance Nebbula, corapporteure de la délégation numérique de Régions de France, rappelle que selon le baromètre de la maturité cyber, sur 500 décideurs informatique interrogés, « 23 % n’ont jamais entendu parler de NIS 2 et seuls 24 % se déclarent prêts ». En ce sens, « la relation entre les collectivités et l’Agence nationale de la sécurité des systèmes d'information (Anssi) doit être fluide », selon Patrick Chaize. D’autant que les 15 000 entités concernées (essentielles et importantes) devront s’enregistrer auprès de l’Anssi et indiquer elles-mêmes leur catégorie d’entité.

Plus largement, les collectivités espèrent un accompagnement financier de la part de l’État. Dans un communiqué publié l’année dernière, les associations d’élus demandaient « une prolongation des financements et une évolution du rôle des CSIRT (1) »  afin de saisir « l’opportunité à moindre coût d’accélérer la consolidation des écosystèmes cyber régionaux, le partage des bonnes pratiques, la formation et la labellisation d’experts cyber, en lien avec les Campus Cyber, alors que tous les acteurs anticipent une explosion de la demande d’accompagnement dès l’entrée en vigueur de la future loi de transposition ».

(1)   Depuis 2021 et à travers le plan France Relance, l’Anssi accompagne le déploiement et la structuration de 16 CSIRT territoriaux. Ils sont complémentaires des autres acteurs cyber et ces équipes portent des missions de prévention, de sensibilisation et d’accompagnement dans la montée en maturité des acteurs de leurs régions.

Suivez Maire info sur Twitter : @Maireinfo2