N° 283
SÉNAT
SESSION ORDINAIRE DE 2021-2022
Enregistré à la Présidence du Sénat le 9 décembre 2021
RAPPORT D'INFORMATION
FAIT
au nom de la délégation aux collectivités territoriales et à la décentralisation (1) et de la délégation aux entreprises (2) relatif à la cybersécurité au sein des collectivités territoriales ,
Par M. Serge BABARY et Mme Françoise GATEL,
Sénateurs
(1) Cette délégation est composée de : Mme Françoise Gatel, présidente ; MM. Rémy Pointereau, Guy Benarroche, Jean-Pierre Corbisez, Bernard Delcros, Mmes Corinne Féret, Michelle Gréaume, MM. Charles Guené, Éric Kerrouche, Antoine Lefèvre, Mme Patricia Schillinger, M. Pierre-Jean Verzelen, vice-présidents ; M. François Bonhomme, Mme Agnès Canayer, M. Franck Montaugé, secrétaires ; Mmes Nadine Bellurot, Céline Brulin, MM. Bernard Buis, Laurent Burgoa, Thierry Cozic, Mmes Chantal Deseyne, Mme Catherine Di Folco, MM. Thomas Dossus, Jérôme Durain, Mme Dominique Estrosi Sassone, MM. Fabien Genet, Hervé Gillet, Jean-Michel Houllegatte, Mmes Muriel Jourda, Sonia de La Provôté, Christine Lavarde, Anne-Catherine Loisier, MM. Pascal Martin, Hervé Maurey, Franck Menonville, Jean-Marie Mizzon, Philippe Mouiller, Olivier Paccaud, Philippe Pemezec, Didier Rambaud, Mme Sylvie Robert, MM. Jean-Yves Roux, Laurent Somon, Lucien Stanzione, Cédric Vial, Jean Pierre Vogel.
(2) Cette délégation est composée de : M. Serge Babary, président ; M. Stéphane Artano, Mmes Martine Berthet, Florence Blatrix Contat, MM. Gilbert Bouchet, Emmanuel Capus, Mme Anne Chain-Larché, MM. Gilbert-Luc Devinaz, Thomas Dossus, Fabien Gay, Jacques Le Nay, Dominique Théophile, vice-présidents ; MM. Rémi Cardon, Jean Hingray, Sébastien Meurant, Vincent Segouin, secrétaires ; Mmes Cathy Apourceau-Poly, Annick Billon, Nicole Bonnefoy, MM. Michel Canevet, Daniel Chasseing, Alain Chatillon, Mme Marie-Christine Chauvin, M. Pierre Cuypers, Mme Jacky Deromedi, M. Alain Duffourg, Mme Pascale Gruny, MM. Christian Klinger, Daniel Laurent, Martin Lévrier, Didier Mandelli, Jean-Pierre Moga, Albéric de Montgolfier, Claude Nougein, Mme Guylène Pantel, MM. Georges Patient, Sebastien Pla, Mmes Émilienne Poumirol, Frédérique Puissat, MM. Christian Redon-Sarrazy, Olivier Rietmann, Daniel Salmon.
LISTE
DES PRINCIPALES CONCLUSIONS TIRÉES
DE LA TABLE RONDE DU
28 OCTOBRE 2021
SUR « LES COLLECTIVITÉS TERRITORIALES
FACE AU DÉFI DE LA CYBERSÉCURITÉ »
1. Sensibiliser les élus communaux et intercommunaux ainsi que leurs services aux enjeux de la cybersécurité.
Un travail d'information doit être mené en particulier, sur :
- l'ampleur des menaces numériques , lesquelles sont accentuées par trois facteurs :
ü le développement des services publics numériques et des territoires connectés ;
ü le recours grandissant au télétravail dans la fonction publique territoriale ;
ü la formation insuffisante des élus et des agents.
- l'existence de lourdes conséquences en cas d'attaques :
ü dysfonctionnement des services publics locaux (mise à l'arrêt de parkings, de piscines, de musées, de stations d'épuration, graves perturbations de l'état civil empêchant, par exemple, la délivrance de permis d'inhumer pendant une semaine...) ;
ü perte irrémédiable de données informatiques, de ressources humaines et financières ;
ü conséquences financières : mise au chômage technique d'employés de mairie, pertes de ressources liées à la mise à l'arrêt de certains services payants, éventuel paiement de rançons...
ü conséquences humaines : altération du lien de confiance avec les citoyens et impact psychologique sur les agents territoriaux.
2. Appliquer le principe de subsidiarité en matière de politique de sécurité numérique .
Deux critères doivent être pris en compte pour apprécier le niveau pertinent d'intervention : la soutenabilité financière et la technicité requise. Ce principe permettrait aux petites collectivités, identifiées comme des « maillons faibles », de bénéficier, par l'effet de la mutualisation , d'une protection numérique renforcée. L'échelle de pertinence doit être appréciée in concreto selon les réalités territoriales. Il peut s'agir du niveau soit intercommunal soit départemental. Cette recommandation suppose toutefois de lever les freins psychologiques tenant à la sensibilité des données des communes et à la crainte corrélative du transfert de ces dernières.
3. Mettre en place des plans ou des procédures de continuité et de reprise d'activité en cas de survenance d'une crise d'origine numérique (mesures d'urgence à prendre, prestataires à contacter, notification aux autorités publiques telles que la CNIL et l'ANSSI...).
4. Revaloriser les fonctions de RSSI (responsable de la sécurité des systèmes d'information) dans les collectivités d'une certaine taille.
Il d'en faire un véritable « directeur de la Sécurité numérique » dont les fonctions ne doivent pas perçues comme uniquement techniques. Le caractère stratégique de cette fonction doit se traduire dans la rémunération proposée ainsi que dans l'organigramme des services (rattachement à la Direction générale par exemple).