Complexe à appréhender, notamment dans les plus petites collectivités, le sujet de la cybersécurité a besoin de moyens mais aussi d’une ligne directrice claire pour accompagner au mieux les acteurs locaux. Dans un rapport publié lundi, la Cour des compte livre une analyse de la stratégie nationale de cybersécurité mise en place par l’État face à la montée de menaces invisibles. Si les solutions existent, la Cour recommande davantage de rigueur dans l’accompagnement des collectivités. 

Illisibilité des dispositifs et modèle économique à repenser

Face à la menace cyber, « un foisonnement d’initiatives »  au niveau des régions et de l’État a été déployé à destination des entités locales – collectivités publiques et leurs établissements, petites et moyennes entreprises. Anssi, Campus Cyber, Cybermalveillance.gouv.fr : de nombreux acteurs ont participé à « la mise en place d’une profusion de mécanismes et de services d’accompagnement ». 

« Si ce foisonnement peut être considéré comme le gage pour chaque utilisateur de trouver des solutions adaptées, il n’en crée pas moins, sur le terrain, une impression de confusion et une illisibilité des dispositifs » , alerte la Cour des comptes. 

Par exemple, à travers son outil « MonAideCyber », l’Anssi propose un diagnostic de sécurité cyber gratuit menant vers un aiguillage de prestaires de confiance. Du côté de cybermalveillance.gouv.fr, un label « ExpertCyber »  a été développé, certifiant plus de 200 professionnels. La Cour estime que « les processus de labellisation de prestataires locaux de services »  sont « mis en place sans cohérence et non sans interrogations quant à la robustesse effective des produits ou des prestataires référencés » . La Cour recommande « de construire un cadre de référencement, par concertation entre l’ANSSI, [cybermalveillance.gouv.fr] et les régions, les bénéficiaires potentiels (collectivités) et les entreprises prestataires. » 

La Cour des comptes s’inquiète aussi du modèle économique des dispositifs mis en place par ces acteurs multiples. Ces derniers « s’appuient sur des crédits étatiques d’amorçage et aucune visibilité n’est donnée sur la pérennisation de leurs ressources. Le modèle économique de ces dispositifs doit donc être repensé et intégré par les organismes disposant des compétences générales de soutien aux collectivités territoriales et aux entreprises. » 

De nouveaux coûts pour les collectivités

La Cour des comptes insiste dans son rapport sur le fait que les coûts de sécurisation sont inférieurs aux coûts moyens d’une cyberattaque. Les coûts des cyberattaques contre les collectivités peuvent atteindre des sommes très importantes : coûts directs estimés s’élèvent par exemple à 960 000 euros pour la Métropole Aix-Marseille-Provence (mars 2020) et à plus de 1,5 million d’euros pour la ville de Bondy (novembre 2020). « À ces coûts directs s’ajoutent des coûts indirects, liés aux activités non réalisées ou à la perte de confiance des usagers, mais leur chiffrage est complexe, tout particulièrement dans le cas de missions de service public », expliquent les magistrats financiers. 

La transposition de la directive NIS 2 (lire Maire info du 13 mars) va imposer de nouvelles règles en matière de cybersécurité à certaines collectivités. Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité, transposant notamment cette directive, a été adopté par le Sénat en mars et « son adoption définitive par l'Assemblée nationale est attendue d'ici l'été » , selon les auteurs du rapport.

Selon le secrétariat général de la Défense et de la Sécurité nationale (SGDSN), les coûts d’investissements selon la collectivité pourraient aller de 100 000 euros à 880 000 euros. La Cour des comptes estime que ces dépenses sont « absorbables »  et nécessaires pour éviter des coûts plus importants encore à cause d’une attaque. Pourtant, ces nouvelles dépenses risquent de peser lourd dans le contexte d’incertitudes financières actuel que connaissent les collectivités. C’est pourquoi les associations d’élus demandent « une prolongation des financements de l’État et une évolution du rôle des CSIRT (1) » . La Cour des comptes appelle d’ailleurs à pérenniser les financements des CSIRT. 

Soulignons au passage que la directive NIS 2 laisse libre choix aux États membres de décider quelles sont les collectivités territoriales qui seront soumises à ces nouvelles règles et que c’est l’État français qui a décidé du choix des échelons territoriaux à intégrer dans ces nouvelles exigences. Si les associations d’élus estiment qu’il est nécessaire de renforcer la cybersécurité des entités locales, elles insistent aussi sur le fait que l’État prenne en compte la réalité des communes et EPCI afin que la mise en œuvre de la directive NIS 2 soit supportable et réalisable. 

(1)   Depuis 2021 et à travers le plan France Relance, l’Anssi accompagne le déploiement et la structuration de 16 CSIRT territoriaux. Ils sont complémentaires des autres acteurs cyber et ces équipes portent des missions de prévention, de sensibilisation et d’accompagnement dans la montée en maturité des acteurs de leurs régions.

Consulter le rapport de la Cour des comptes. 

Suivez Maire info sur Twitter : @Maireinfo2