La cybersécurité : une notion encore trop floue pour les communes de moins de 3 500 habitants
Par Lucile Bonnin
Le nombre de cyberattaques ne fait qu’augmenter depuis plusieurs années. Pour preuve : le rapport d’activité 2021 du site Cybermalveillance.gouv.fr indique que la fréquentation de la plateforme a augmenté de 101 % avec près de 2,5 millions de visiteurs dont 173 000 qui sont venus chercher de l’assistance.
Les collectivités sont particulièrement concernées par cet enjeu de sécurité numérique. Elles sont d’ailleurs « devenues ces derniers mois des cibles d’actes de cybermalveillance de plus en plus nombreux (systèmes d’information bloqués, missions au service de leurs administrées interrompues, etc.). »
Les cyberattaques prennent des formes particulièrement variées et les collectivités de toute taille peuvent en être la cible. Ce serait une lourde erreur de croire que seules les grandes villes sont touchées et qu’être une moyenne ou petite commune protège du danger. D’autant plus que, selon la Direction générale des collectivités locales (DGCL), les communes de moins de 3 500 habitants représentent 31 816 communes sur 34 965 au total.
Elles sont donc majoritaires mais ces communes, dans les faits, n’ont pourtant pas réellement conscience des dangers auxquels elles sont exposées et rencontrent des difficultés pour assurer la sécurité numérique de leurs organisations. C’est ce que montrent notamment les résultats de l’enquête menée par Cybermalveillance.gouv.fr auprès de 524 répondants dont 93 % d’élus et 7 % d’agents.
Équipement restreint et gestion externalisée
Une commune de 1 000 habitants ne va bien évidemment pas avoir les mêmes moyens informatiques et le même fonctionnement qu’une commune de plus de 100 000 habitants. L’étude montre que le parc informatique de ces petites communes de moins de 3 500 habitants est réduit : 77 % d’entre elles disposent de moins de 5 postes informatiques et n’ont pas de responsable informatique au sein de leur administration. « Une des raisons évoquées est un faible budget dédié à l’équipement numérique » , peut-on lire dans l’étude.
En termes de gestion, 64 % des petites communes interrogées ont recours à un prestataire externe contre seulement 23 % qui ont une gestion interne de leur parc informatique. « Quand elles externalisent, 64 % d’entre elles s’adressent à un prestataire informatique de proximité » qui gère l’installation des matériels, la maintenance et la mise à jour des logiciels, l’assistance en cas d’incidents ou d’actes de cybermalveillance.
Des communes peu sensibilisées
La sensibilisation est un peu le nerf de la guerre en ce qui concerne la cybersécurité. Il est important de comprendre que toutes les collectivités peuvent être visées par une cyberattaque. Bernard Baudoux, maire d’Aulnoye-Aymeries (Nord), témoignait à l’occasion d’un Forum numérique pendant le dernier Congrès des maires, après une cyberattaque dont sa commune a été victime : « Ma commune ayant 10 000 habitants je ne me sentais pas concerné. Mais si les maires ne s’en occupent pas, il y aura beaucoup de dégâts. » (lire Maire info du 22 novembre 2021)
Pourtant les résultats de l’étude montrent que le message n’est pas encore bien passé. 65 % des communes de moins de 3 500 habitants pensent que le risque numérique est faible, voire inexistant, ou ne savent pas l’évaluer. « Seules 35 % identifient un risque numérique élevé, voire très élevé, mais s’interrogent sur les moyens pour [y remédier] (budgets, outils, ressources humaines). »
Les élus et agents de ces communes semblent peu sensibilisés à la question de la sécurité numérique. Deux tiers des maires, adjoints, agents, directeurs généraux des services n’ont pas été sensibilisés à la sécurité numérique. D’un autre côté, 57 % des responsables informatiques interrogés ne sont pas formés à la sécurité numérique.
Des usages numériques à risques
Ce manque d’information mène au développement de pratiques qui peuvent être potentiellement dangereuses pour la sécurité numérique de la commune. D’abord, ces communes déclarent « partager l’usage d’ordinateurs, ce qui favorise l’échange des mots de passe entre agents et élus et implique une gestion non sécurisée. »
Deuxième point critique : les élus et agents déclarent mélanger leurs usages professionnels et personnels. « En moyenne, 44 % des élus utilisent leurs outils numériques personnels (téléphone/ordinateur/messagerie) dans un cadre professionnel, notamment lorsqu’ils exercent plusieurs mandats électifs ou une activité professionnelle en parallèle. » Cette pratique peut en effet mettre en danger les données privées de l'organisation.
Enfin, les communes de moins de 3 500 habitants « n’ont pas connaissance du niveau d’expertise en sécurité numérique de leur prestataire de proximité ou de leur sous-traitant. Elles se croient sécurisées et n’ont pas le réflexe de contrôler ces compétences, surtout lorsqu’il s’agit d’une relation contractuelle de longue date. » Est-ce que le prestataire est compétent dans le champ de la sécurité informatique et peut réagir en cas d’attaque cyber ? C’est une question qu’il faut se poser. Le label ExpertCyber peut aider les communes à identifier des prestataires qualifiés.
Des obstacles identifiés
Budget insuffisant, manque de temps, autres priorités, sentiment de n’être pas concernées : les communes ont plusieurs arguments pour justifier ce manque d’implication en matière de cybersécurité.
Même pour celles qui sont conscientes des risques, elles indiquent ne pas savoir vers qui se tourner. Elles estiment aussi les communications non adaptées aux élus et aux collectivités locales et trouvent la réglementation trop complexe.
Dans le cadre de France Relance, plusieurs outils ont été développés pour accompagner toutes les collectivités dans l’établissement de ce nouvel impératif numérique. Sont proposés notamment sur le site Cybermalveillance.gouv.fr un guichet unique accessible en ligne, une assistance en ligne, un programme de sensibilisation aux risques numériques dans les collectivités territoriales ou encore un outil d’autoévaluation, développé en partenariat avec la Gendarmerie et l'AMF, pour évaluer le niveau de cyber protection d’une collectivité.
En outre, un webinaire intitulé "cybersécurité : les collectivités toutes concernées" a été réalisé en partenariat avec l’ANCT, le commandement cyber de la Gendarmerie Nationale (COMCYBERGEND) et Cybermalveillance.gouv.fr pour sensibiliser les collectivités aux menaces cyber, les informer des risques, les aider à prévenir les attaques et leur exposer les solutions qui existent pour se protéger.
Enfin, pour mémoire, l’AMF a publié un guide au mois de novembre 2020 élaboré conjointement avec l’Agence nationale de la sécurité et des systèmes d’information « Cybersécurité : toutes les communes et les intercommunalités sont concernées » .
Télécharger l'intégralité de l'étude.
Suivez Maire info sur Twitter : @Maireinfo2
Gouvernement Borne : quels interlocuteurs pour les collectivités locales ?
Action Coeur de ville : l'attractivité immobilière des villes moyennes confirmée en 2021
Contre les rixes entre jeunes, des associations avancent 10 propositions envoyées à Emmanuel Macron