Sécurité numérique des collectivités territoriales

Question de Mme GUILLOTIN Véronique (Meurthe-et-Moselle - RDSE) publiée le 06/04/2023

Mme Véronique Guillotin attire l'attention de Mme la ministre déléguée auprès du ministre de l'intérieur et des outre-mer et du ministre de la transition écologique et de la cohésion des territoires, chargée des collectivités territoriales et de la ruralité sur la sécurisation numérique des collectivités territoriales. Le site cybermalveillance.gouv.fr, plateforme d'assistance aux victimes informatiques, consultée par 3,8 millions de personnes en 2022, constate avoir observé que les collectivités étaient cette année surreprésentées parmi les victimes de cybermalveillance, à l'instar de Mont-Saint-Martin (Meurthe-et-Moselle), de Lille ou de Caen. Ces attaques à répétition prennent des formes toujours plus originales et les collectivités doivent aujourd'hui se protéger des phénomènes d'hameçonnage, de rançongiciels, de piratages ou de pièges aux faux relevés d'identité bancaire. De telles protections numériques nécessitent des moyens et connaissances précis auxquelles toutes les communes ne peuvent avoir accès. Plusieurs mesures à destination des collectivités territoriales ont été engagées en 2022, visant notamment à sensibiliser et informer les élus aux différents risques existants et aux responsabilités qui leur incombent. Ainsi, elle lui demande si les dispositifs engagés en 2022 ont vocation à se pérenniser et si des mesures et moyens supplémentaires sont envisagés par le Gouvernement pour garantir la sécurité numérique des collectivités territoriales et prévenir les nouvelles formes de cybermenace.

Publiée dans le JO Sénat du 06/04/2023 - page 2275

Transmise au Première ministre

Réponse du Première ministre publiée le 29/06/2023

Les collectivités territoriales font l'objet d'une attention particulièrement soutenue de la part de l'Agence nationale de sécurité des systèmes d'information (ANSSI), en raison de leur exposition au risque de cyberattaques. Cette exposition tient notamment à des processus de numérisation volontaristes et une importante offre de services numériques à la population administrée. Afin de concilier au mieux les impératifs de cette numérisation avec ceux de la cybersécurité, un important travail de sensibilisation a été engagé en direction des élus et cadres territoriaux, conjointement par l'Association des départements de France et l'ANSSI. Ainsi, des actions ont été conduites au début de l'année 2023 pour tirer les premiers enseignements des attaques récemment menées contre certains conseils départementaux et pour prodiguer des conseils destinés à améliorer la cybersécurité. De surcroît, divers outils de cybersécurité sont mis à disposition par l'ANSSI. C'est le cas du service de protection des « annuaires » Active Directory Security (ADS), qui contiennent de nombreusesinformations utiles aux attaquants, ou de la démarche de cartographie de la surface d'exposition sur Internet d'un système, au travers du service SILENE. Afin de compléter cette offre, l'ANSSI met à disposition depuis la fin de l'année 2022 l'outil MonServiceSécurisé qui permet de sécuriser et d'homologuer gratuitement et rapidement les services publics en ligne. Un outil de diagnostic dénommé MonAideCyber est actuellement en phase d'évaluation. Il viendra compléter le dispostif dans le courant de l'année 2023. Au-delà, l'ANSSI accompagne très directement les collectivités. Depuis le mois d'octobre 2022, le dispositif territorial de l'agence est complet, avec au moins un délégué de l'Agence par région et un délégué pour les outre-mer. De nombreuses actions de sensibilisation décentralisées, sont menées, souvent en étroite collaboration avec le commandement de la gendarmerie nationale dans le cyberespace et le groupement d'intérêt public ACYMA (cybermalveillance.gouv.fr). Elles sont rendues possibles par les liens étroits tissés avec les associations d'élus (AMF, ADF, ARF…). Le plan de relance a également permis de financer un effort historique en faveur de la sécurité des systèmes d'information des collectivités territoriale, à hauteur de 100 millions d'euros sur les 176 millions d'euros dont bénéficiait la totalité du volet consacré à la cybersécurité. Ce très important effort budgétaire consenti par le Gouvernement a permis de financer trois types d'actions. Premièrement, un dispositif de « parcours cyber » visant à accompagner une amélioration des compétences en matière de cybersécurité. Ces parcours s'appuient sur des prestataires de cybersécurité, déclinant une méthodologie fixée par l'ANSSI. Ces dispositifs permettent de disposer d'une évaluation de la sécurité des systèmes d'information et d'un soutien pour les protéger concrètement et de manière adaptée aux enjeux et au niveau de menace. Deuxièmement, des appels à projets ont permis de sélectionner des « solutions » de sécurité, permettant notamment aux plus petites collectivités de s'équiper, alors qu'elles ne disposent pas nécessairement des budgets ou compétences pour réaliser les études préalables ou financer ces acquisitions. Troisièmement, le plan a permis de soutenir la création de centres régionaux de réponse à incident cyber (CSIRT régionaux), destinés à fournir leur aide aux structures de taille intermédiaire (entreprises, collectivités, associations…) en cas d'attaque. Environ 750 collectivités territoriales ont bénéficié d'un accompagnement au titre du plan de relance. Les premiers enseignements tirés de ces parcours de cybersécurité confirment le fort intérêt manifesté pour ce dispositif mais aussi la forte implication de la gouvernance des collectivités concernées dans le succès de ces démarches. Cette implication constitue un facteur décisif de succès pour l'initiation d'une démarche durable de maitrise du risque numérique. Au-delà du plan de relance, les efforts se poursuivent. Le 16 novembre 2022, le ministre délégué chargé de la transition numérique et des télécommunications a annoncé plusieurs mesures en faveur de la cybersécurité des collectivités territoriales. Dans ce cadre, en 2023, l'ANSSI mène plusieurs actions parmi lesquelles un élargissement des parcours de cybersécurité à de nouveaux bénéficiaires, la prolongation des parcours préalablement entamés par des bénéficiaires apparaissant comme particulièrement sensibles et le soutien au développement et au déploiement d'outils destinés aux collectivités territoriales, pour permettre notamment une sécurisation simplifiée et mutualisée de certains services. Ce soutien porte sur la transmission d'expertise par l'ANSSI à d'autres administrations, mais peut aussi se matérialiser par des délégations de gestion.

Publiée dans le JO Sénat du 29/06/2023 - page 4041