Maire-info
Le quotidien d’information des élus locaux

Édition du mardi 7 septembre 2021
Numérique

Cyberattaques : 9 questions simples pour évaluer soi-même la sécurité numérique de sa collectivité

Le ministère de l'Intérieur propose aux maires « un support d'autoévaluation de la sécurité numérique » de leur collectivité afin de détecter « les faiblesses potentielles de leurs infrastructures numériques ».

Par Ludovic Galtier

Maire-Info
© Adobe stock

À la veille du lancement à Lille (Nord) du Forum international de la citoyenneté (Fic), le ministère de l’Intérieur a adressé hier aux maires un courrier les incitant à se prémunir des nouvelles menaces numériques, accompagné « d’un support d’autoévaluation de la sécurité numérique »  des collectivités. « Développé par les spécialistes en cybersécurité de la gendarmerie nationale, en lien étroit avec l’AMF et le dispositif Cybermalveillance.gouv.fr (…) cet outil vise à aider les élus dans l’évaluation des faiblesses potentielles de leurs infrastructures numériques », écrit le ministère.

Concrètement, le maire et ses équipes sont invitées à répondre par « oui », par « non »  ou « ne sait pas »  à une série de neuf questions d’ordre technique et fonctionnel afin de « mesurer le niveau de sécurité numérique de leur collectivité » : « Avez-vous un inventaire complet de tous vos systèmes numériques ? »  ; « Utilisez-vous des mots de passe solides et différents pour chaque service ? »  ; « Avez-vous sensibilisé vos agents aux risques numériques ? »  sont trois des questions posées. Cocher un maximum de « oui »  est fortement recommandé. Dans le cas inverse, « votre collectivité peut être en danger, mettent en garde les concepteurs de cette infographie. Le gendarme peut vous aider à faire un état des lieux de votre sécurité numérique et à établir un plan d’actions pour renforcer votre protection ». 

Plusieurs outils précieux sont déjà disponibles pour sensibiliser, dans les collectivités locales, aux risques cyber. Le kit de sensibilisation aux risques numériques, comprenant de nombreuses fiches permettant d’adopter facilement des bonnes pratiques et de mieux comprendre les risques. Et le guide Cybersécurité, toutes les communes et intercommunalités sont concernées, élaboré par l’Anssi et l’AMF, document d’une trentaine de pages répondant aux premières questions essentielles que doivent se poser élus et responsables des services : menaces et points de vulnérabilité, prévention, conduite à tenir en cas d’attaque.

« Une véritable catastrophe » 

Une démarche d’autant plus indispensable que le nombre de cyberattaques explose ces derniers mois. La dernière en date a ciblé le mois dernier le portail national France-Visas, qui permet de demander la délivrance d'un visa pour les étrangers souhaitant entrer et séjourner pendant une période déterminée en France. 
Au moins 192 attaques par rançongiciels ont été notifiées en 2020 à l’Agence nationale de la sécurité des systèmes d’information (Anssi). C’est quatre fois plus qu’en 2019 ! Surtout, 20 % de ces victimes ont été des collectivités locales. Les plus grandes, à l’image de la métropole Aix-Marseille (Bouches-du-Rhône) en 2020, comme les plus petites. « J’ai pu entendre des collectivités dire : ‘’Nous sommes une petite structure, un service public et nous ne nous sentons pas menacés.’’ C’est une grave erreur car la question n’est pas de savoir si la collectivité va subir une attaque informatique mais quand ! », alerte ce mois-ci dans Maires de France Jean-Jacques Latour, responsable de l’expertise du dispositif Cybermalveillance.gouv.fr. 

Bernard Baudoux, maire d’Aulnoye-Aymeries (Nord), commune de 9 300 habitants touchée elle aussi, se souvenait, pour Maires de France en mai, « d’une véritable catastrophe ». Violente, la cyberattaque a paralysé puis perturbé le fonctionnement du service public local pendant plusieurs mois. 

La stratégie de cybersécurité lancée en février 2021 dans le cadre du plan de relance consacre, pour rappel, 60 millions d’euros à la sécurisation des collectivités locales et 25 aux établissements de santé. Il s’agit notamment de prévoir « un accompagnement adapté [à chaque structure] en fonction de leurs enjeux, des impacts potentiels d’une attaque sur leurs réseaux et des moyens disponibles ».

Suivez Maire info sur Twitter : @Maireinfo2