Maire-info
Le quotidien d’information des élus locaux
Édition du mercredi 23 février 2022
Numérique

Un an après le lancement des parcours cybersécurité, l'heure du bilan

L'Anssi a publié récemment un bilan de la mise en œuvre des parcours cybersécurité. Ce rapport d'activité rappelle l'enjeu de ces parcours et fait émerger des pistes d'amélioration pour « décupler les effets du dispositif ».

Par Lucile Bonnin

Le mardi 15 février, le campus cyber a été inauguré à La Défense. Cette création d’un lieu « totem de la cybersécurité »  s’inscrit dans le volet « cybersécurité »  du plan France Relance. À cette occasion, l’Anssi – dont près de 80 agents travailleront à terme sur le campus – a fait le point sur la mise en œuvre d’un projet phare : les parcours de cybersécurité. 

L’objectif de ces parcours est d'améliorer le niveau de sécurité numérique de l’ensemble des acteurs des territoires notamment les services publics, les acteurs économiques locaux, établissements de santé et les collectivités territoriales. 

Ce point d’étape qui analyse les résultats de l’année 2021 permet d’identifier les défis qui ont pu être d’ores et déjà relevés, et de mettre en évidence des pistes d’amélioration. 

626 bénéficiaires en 2021 

Le rapport indique d’abord qu’au 31 décembre 2021, l’Anssi comptait 626 candidats retenus pour bénéficier d’un parcours et ce pour un total de 69 millions d’euros. 

Pour rappel, peuvent prétendre à bénéficier de ce dispositif d’accompagnement les « entités publiques volontaires disposant d’un système d’information de quelques dizaines de machines, d’un référent pour la sécurité des systèmes d’information et s’engageant à utiliser au moins 5 % de leur budget informatique à leur cybersécurité » 

Des compétences humaines et techniques sont donc concrètement mises à disposition des structures ainsi qu’une subvention qui peut aller de 90 000 euros par collectivité territoriale ou établissement public. C’est notamment cette aide financière qui va permettre aux bénéficiaires de s’appuyer sur des « prestataires terrains ». Ces derniers mettent en œuvre les prestations spécifiques identifiées dans le plan de sécurisation. En 2021, ce sont 54 sociétés différentes qui ont été mobilisées pour être présentes au côté des bénéficiaires. 

Un bilan plutôt positif 

En amont du lancement du dispositif, sur la période 2021-2022, 700 structures avaient été identifiées dans les objectifs d’accompagnements dont 500 collectivités, 150 établissements de santé et 50 établissements publics. 

Avec une ouverture des candidatures fin mars 2021, la mise en service de ces parcours s’est faite progressivement mais rapidement. En octobre 2021, 500 candidatures avaient été acceptées. Deux mois plus tard, plus de 100 candidatures ont été de nouveau acceptées. 

Au-delà de ces chiffres encourageants, les retours des bénéficiaires de ces parcours sont également positifs selon l’Anssi. 140 parcours ont été engagés opérationnellement notamment au sein de la mairie de Vannes qui salue « l’approche collaborative et constructive de la démarche » . La satisfaction semble partagée du côté de Plaine commune Grand Paris, établissement public territorial (EPT) qui regroupe 9 villes au nord de Paris, qui insiste sur l’avantage d’avoir « un regard extérieur »  sur les services de sécurité existants.

Des enjeux et évolutions 

L’Anssi rappelle que le plus important en 2022 sera de tenir les engagements et de finaliser les accompagnements déjà lancés. Pour cela, l’aide du réseau de prestataires terrain sera indispensable. Autre enjeu identifié : la sécurisation de la dynamique des « packs relais » . En d’autres termes, l’Anssi souhaite se concentrer sur l’accompagnement post-parcours qui se poursuit avec des prestations ciblées. 

De nouvelles actions vont également être lancées avec notamment la publication de la méthode des Parcours de cybersécurité pour « permettre à d’autres structures de la conduire en autonomie » . Une décision qui semble en effet indispensable puisque seulement 500 collectivités territoriales seront à terme acceptées pour bénéficier du parcours. 

Deux nouvelles offres vont être mises en place : D'abord, « l’acquisition de licences mutualisées de certains produits ou publications permettant d’adresser des structures publiques notamment les plus petites qui n’ont pas été directement accompagnées par un parcours » . En effet, l’obligation d’avoir un référent en matière de sécurité informatique exclut d’office du parcours les plus petites structures. Enfin, des campagnes de Bug Bounty (« prime aux bogues » ) vont être lancées afin d’identifier des acteurs capables de trouver des vulnérabilités dans des logiciels pour aller vers toujours plus de sécurisation à terme.

Télécharger le rapport. 

Suivez Maire info sur Twitter : @Maireinfo2