Comme le précisait Tony Estanguet, président du comité d’organisation des Jeux olympiques et paralympiques, « les Jeux sont un des événements les plus attaqués, notamment du point de vue cyber. »  Ainsi, les collectivités ne sont pas écartées des menaces en matière de cybersécurité. 

Depuis plusieurs années, les collectivités sont des cibles privilégiées pour les cybercriminels. En 2023, 36 000 collectivités ont eu recours au service d'assistance de la plateforme Cybermalveillance.gouv.fr. 

Si la maturité cyber des collectivités augmente au fil des années, beaucoup reste à faire pour assurer une protection satisfaisante de toutes les collectivités. C’est ce que pointe une étude publiée par HarfangLab (startup de cybersécurité française) et InfoPro Digital, qui relève que plus du tiers des collectivités interrogées a déjà subi une attaque cyber. L’étude a été menée en avril 2024 auprès de 201 répondants, répartis à travers la France parmi des collectivités de tailles différentes, à la fois situées en zones urbaines et rurales. 

Sensibilisation 

53 % des collectivités indiquent se sentir très exposées aux cyberattaques, alors que 42 % ne s’estiment pas du tout exposées, selon cette étude. Les collectivités de moins de 5 000 habitants sont 60 % à ne pas se sentir en danger face à la menace cyber. De plus, « si 59 % des communes urbaines s’estiment menacées, seules 41 % des communes rurales se considèrent comme à risque. » 

Les résultats de ce sondage sont à mettre en perspective avec ceux de cybermalveillance.gouv.fr : en 2023, « près d’une collectivité sur deux (42 %) s’estime en effet exposée aux risques de cyberattaques, notamment les collectivités de plus de 10 000 habitants à 70 % contre 37 % pour les collectivités de moins de 1000 habitants ».

Pour les auteurs de l’étude publiée il y quelques jours, « la proportion d’élus et de décideurs qui prennent le sujet de la cybersécurité en main doit encore évoluer pour assurer une meilleure préparation et une meilleure résilience face aux incidents » . 37% des collectivités ne disposent en effet ni de département ni de service dédié aux questions de sécurité.

Rappelons que l’enjeu est de taille et ce aussi bien pour les petites communes que pour les grandes collectivités. Comme le rappelle l’Anssi, « les collectivités territoriales gèrent de nombreux services selon leurs compétences, en matière administrative et régalienne (état civil), éducative (gestion des écoles, collèges et lycées), sociales (prestations sociales, centres sociaux), médicales (EHPAD), d’urbanisme, de gestion des ressources en énergie et en eau (approvisionnement et traitement), etc. »  et sont donc « de fait dépositaires d’un très grand nombre de données personnelles de leurs administrés. Les impacts d’attaques informatiques peuvent donc être majeurs à l’échelle d’une collectivité, et affecter de multiples champs de compétences et de nombreux citoyens. » 

Vol de données et inaccessibilité des services 

Les principales craintes en matière de conséquences d’une cyberattaque concernent « la sensibilité des données traitées et le risque de vol ». 49 % des répondants considèrent le vol de données comme principale préoccupation. « Viennent ensuite la crainte de la destruction d’un système d’information et de l’inaccessibilité des services publics en ligne (44 %), ainsi que la fuite d’information (38%). La demande de rançon (34 %), le cyber-espionnage (13 %), les attaques ciblées et la fraude externe sont également mentionnés. » 

La cyberprotection est un enjeu qui va se relever d’autant plus essentiel lors des Jeux où une nouvelle menace va peser sur les services : « compte tenu de l’aspect essentiel des infrastructures critiques, comme les réseaux de transport, les services de santé et les systèmes de gestion de l’eau pour le bon déroulement des Jeux Olympiques, ces dernières peuvent s’avérer attractives pour quiconque souhaiterait interférer avec le bon déroulement de l’événement » , expliquent les professionnels. Evidemment, plus les collectivités sont grandes, plus le risque cyber identifié dans le contexte des Jeux est grand. « Ainsi les collectivités de 100 à 500 000 habitants sont 64 % à donner une note de 7 à 8 au risque contre 16 % pour les organisations de 2 500 à 5 000 habitants. » 

Budget et organisation 

Comme le pointait Cybermalveillance.gouv.fr, les collectivités manquent de moyens pour acquérir un bon niveau de sécurité informatique : 80 % des collectivités disposent de moins de 10 postes informatiques et seulement 6 % d’entre elles comptent plus de 50 postes (principalement les communes de plus de 5000 habitants). De même, 65 % des collectivités allouent moins de 5 000 euros à leur budget informatique. 

L’étude HarfangLab complète ce constat en montrant que « les collectivités qui s’estiment le plus en avance et qui réalisent les investissements les plus importants sont essentiellement des communes urbaines (44 % d’entre elles s’estiment en avance). Les communes rurales, quant à elles, sont seulement 24 % à s’estimer en avance. » 

Le principal frein rencontré par les collectivités est lié « au manque de ressources, de budget, et de priorisation accordée à la cybersécurité dans les dépenses. La diminution des budgets publics, combinée à la hausse des risques généraux et à la difficulté de prioriser les questions de cybersécurité, ralentit la montée en résilience cyber des collectivités. » 

Les collectivités sondées indiquent vouloir « un meilleur soutien financier de l’État, davantage d’aides financières et de moyens de manière générale ». Les collectivités « attendent aussi de la part de l’État un accompagnement au niveau de la sensibilisation aux bonnes pratiques cyber. Beaucoup souhaitent également plus de confiance, de fiabilité dans les outils et notamment dans les plateformes de sauvegarde, de traitement des données pour permettre plus de sécurité. » 
 

Suivez Maire info sur Twitter : @Maireinfo2