Cybersécurité : les collectivités davantage sensibilisées mais leurs moyens toujours limités
Par Lucile Bonnin
Deux ans après sa première enquête sur la maturité des collectivités en matière de cybersécurité, le dispositif national Cybermalveillance.gouv.fr dévoile de nouveaux résultats à travers cette seconde étude menée sur les collectivités de moins de 25 000 habitants. Cet échantillon, comme le pointent les auteurs de l’étude, « représentent 99 % des 34 945 communes françaises et 67 % de la population française totale ».
Depuis plusieurs années, les collectivités sont particulièrement touchées par des cyberattaques. « Une collectivité sur 10 déclare avoir déjà été victime d’une ou plusieurs attaques au cours des 12 derniers mois, notamment d’hameçonnage à 46 % » , selon Cybermalveillance.gouv.fr.
De plus, les conséquences de ces attaques sont préjudiciables pour les collectivités car elles peuvent aller « jusqu’à une interruption d’activité et de service (40 %), mais également entraîner la destruction des données (20 %) ou une perte financière (20 %) ».
Face à ce phénomène, les collectivités sont de plus en plus conscientes des risques mais le manque de moyens demeure un sérieux frein pour acquérir un bon niveau de sécurité informatique.
Des progrès sur la sensibilisation
« Si en 2021, seul un tiers des collectivités déclaraient avoir été sensibilisées au sujet cyber, près de 8 élus et agents sur 10 (78 %) indiquent l’avoir été au moins une fois sur les douze derniers mois, en particulier les collectivités de plus de 5 000 habitants à 83 % » , peut-on lire dans l’étude.
Parmi les élus et agents qui ont été sensibilisés, 45 % l’ont été de manière ponctuelle et 33 % de manière régulière. Pour Cybermalveillance.gouv.fr ces résultats « expliquent sans doute que près de 7 élus et agents sur 10 (67 %), en majorité les collectivités les plus grandes, pensent que la cybersécurité est l’affaire de tous et que l’ensemble des parties prenantes doit être impliqué ».
Les collectivités ont aussi conscience du risque puisque, en moyenne, « près d’une collectivité sur deux (42 %) s’estime en effet exposée aux risques de cyberattaques, notamment les collectivités de plus de 10 000 habitants à 70 % contre 37 % pour les collectivités de moins de 1000 habitants ».
En pratique, les collectivités affirment à 94 % être dotées de 3 outils en moyenne : que cela soit des sauvegardes, des antivirus, des pares-feux, des gestionnaires de mot de passe ou encore des solutions de détection d’attaque… Dans le détail, 3 outils en moyenne sont mis en place dans les plus petites collectivités et près de 5 pour les collectivités de plus de 5 000 habitants. Si une collectivité sur deux se sent bien protégée, « 18 % d’entre elles ne savent pas évaluer leur niveau de protection » et 33 % ont un niveau faible (26 %) voire très faible (7 %) de protection.
« Des collectivités aux moyens limités »
Malgré ces évolutions positives, une majorité de petites collectivités avec un parc faiblement équipé. En effet, 80 % des collectivités disposent de moins de 10 postes informatiques et seulement « 6 % d’entre elles comptent plus de 50 postes (principalement les communes de plus de 5000 habitants) ».
Côté budgets, l’étude indique que « 65 % des collectivités allouent moins de 5000 euros à leur budget informatique dont 1/3 moins de 2000 euros, et 81 % des plus petites collectivités ne dépassent pas les 5000 € de budget annuel. Elles ne sont que 27 % à consacrer plus de 5 000 euros à l’informatique. Sur la cybersécurité spécifiquement, « 75 % des élus et agents reconnaissent dépenser moins de 2000 euros » en la matière. Par ailleurs, sur le long terme, « seules 12 % des collectivités interrogées comptent faire évoluer leur budget cyber à la hausse ». Celles qui comptent le faire sont particulièrement les collectivités victimes d’une attaque (23 %) ou percevant un risque élevé (19 %).
Ces moyens limités alloués à la cybersécurité ne sont pas sans risque car, selon l’étude, ils entrainent des usages à risques. Par exemple, « 62 % des répondants affirment avoir recours à des équipements personnels pour leur activité professionnelle au sein de la collectivité, notamment au téléphone portable (88 %) » .
Les collectivités sondées se disent aussi peu préparées aux attaques puisque seules 14 % d’entre elles se disent préparées et qu’à peine une sur cinq (19 %) dispose d’une procédure de réaction.
Les attentes des collectivités
Manque de connaissance (45 %), absence de ressources humaines (38 %), manque de temps (34 %), manque de budget (34 %) … Nombreux sont les freins identifiés par les collectivités.
Enfin, « l’étude place la sensibilisation comme l’attente la plus forte tant auprès des agents que des élus, à 64 %. Puis, ce sont les outils et les solutions de sécurisation qui sont plébiscités à 55 % ; viennent ensuite la demande de diagnostic avec des conseils spécialisés (51 %), ainsi qu’une aide financière (47 %) » .
Si les enjeux sont désormais clairs pour les élus, il faut désormais que « des réflexes s’instaurent durablement et qu’elles puissent être armées face aux cyberattaques » selon Cybermalveillance.gouv.fr.
Suivez Maire info sur Twitter : @Maireinfo2
Rencontre des élus d'outre-mer : la lutte contre la vie chère au centre des débats