AVANT-PROPOS
La cybercriminalité se banalise pour quatre motifs :
1. La numérisation de l'économie et des services publics, accélérée avec le confinement lié au développement du télétravail et le déploiement de la fibre ;
2. La professionnalisation de la cybercriminalité , facilitée par sa « plateformisation », son industrialisation, et le développement des cryptomonnaies ;
3. La difficulté de la prévention et de la répression , lesquelles nécessitent à la fois la prise de conscience de tous et une coopération internationale efficiente ;
4. L'intégration du cyberespace comme nouveau vecteur de la conflictualité géopolitique dont les collectivités territoriales, leurs établissements publics et les établissements de santé, sont soit les cibles soit les victimes collatérales.
Les collectivités territoriales sont responsables de la sécurité des données qu'elles traitent et de leurs services numériques vis-à-vis des autorités et des citoyens. Les normes de cybersécurité et de protection des données instaurent une logique de prévention des risques. Elles impliquent une mise en conformité permanente et dynamique. Les collectivités doivent donc garantir à leurs usagers un niveau optimal de protection.
Le rapport de la délégation sénatoriale aux entreprises établi par Sébastien Meurant et Rémi Cardon 1 ( * ) a souligné l'ampleur du risque cyber pour les entreprises, en particulier les PME, mais aussi pour toutes les organisations territoriales.
Ce sujet a été à nouveau largement évoqué lors de la 5ème Journée des entreprises organisée au Sénat le 21 octobre 2021 par la délégation aux entreprises, puis lors de la table-ronde conduite avec la délégation aux collectivités territoriales et à la décentralisation, le 28 octobre.
Suite à ces travaux, il est apparu que les entités publiques , à savoir les collectivités territoriales, établissements de santé et établissements publics, sont également concernées par cette menace qui peut paralyser le fonctionnement du service public. La réponse appropriée pour réduire cette menace nécessite une synergie des actions publiques et privées.
I. UNE PRISE DE CONSCIENCE TARDIVE ET INSUFFISANTE DES CYBERMENACES
En 2020, près de 30 % des collectivités territoriales ont été victimes d'une attaque au rançongiciel 2 ( * ) selon une étude du Clusif 3 ( * ) . En effet, cette même année a vu le nombre de cyberattaques contre des collectivités territoriales augmenter de 50 % par rapport à 2019 4 ( * ) .
Comme l'indique cette carte, les collectivités de toutes tailles et sur tout le territoire sont concernées :
LOCALISATION DES VICTIMES
Source : Cybermalveillance.gouv.fr, 2021
En mai 2020, Guillaume Poupard, directeur général de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) s'est déclaré « inquiet » 5 ( * ) pour la cybersécurité des collectivités territoriales.
Pourtant, la cybersécurité était, en 2018, loin d'être une préoccupation centrale des collectivités territoriales. Selon un sondage Ifop 6 ( * ) pour l'Observatoire des Politiques Publiques, en janvier 2020 encore seuls 33 % des fonctionnaires territoriaux interrogés déclaraient que leur organisation avait mis en place un programme de cybersécurité. Le manque de budget et de personnes qualifiées justifie en partie les difficultés des collectivités territoriales en matière de cyberprotection de leurs outils et données numériques.
Les élus locaux prennent désormais, et de manière croissante, la pleine mesure de ce risque . Les associations d'élus accompagnent la prise de conscience des collectivités territoriales, qui demeure inégale sur le territoire.
Pour favoriser cette prise de conscience, l'Association des maires de France (AMF) a édité en novembre 2020 un guide intitulé « Cybersécurité : toutes les communes et les intercommunalités sont concernées ».
|
Si ce guide propose une trentaine de recommandations et de bonnes pratiques en matière de sécurité numérique, sa finalité première est avant tout de susciter un questionnement pour les élus. La réflexion ainsi ouverte doit permettre de répondre à cette simple question : ma commune ou mon intercommunalité est-elle bien préparée face aux risques numériques ? Quelle que soit la réponse, ce guide a vocation à apporter des conseils pratiques et à proposer les axes prioritaires à renforcer, sinon à développer. S'il n'est pas technique, ce guide propose cependant les briques nécessaires à l'élaboration d'une gouvernance qui devient dès lors garante de l'établissement d'un cadre de confiance numérique. La vocation de ce guide est bien de renforcer la prise de conscience de chacun, élus, mais aussi cadres et agents territoriaux. Elle est aussi de mettre l'accent sur des points d'action très concrets puis d'inviter à partager et construire tous ensemble la sécurité numérique collective que chaque citoyen attend de son territoire.
Source : introduction du
guide
« Cybersécurité :
|
Faute de temps mais également de compétences et de ressources humaines qualifiées, les petites communes se contentent parfois d'installer ponctuellement un anti-virus, alors que la cybersécurité doit être mise à jour en permanence. Or, la pénurie de compétences est telle que l'ANSSI a lancé un « observatoire des métiers de la cybersécurité » afin d'aider les acteurs concernés dans leur politique de recrutement et de formation. Dans ce contexte, la mutualisation au plus près des collectivités concernées s'avère être un choix judicieux pour mettre en commun les efforts, affronter les pénuries de professionnels qualifiés et ainsi mettre en place une protection collective .
* 1 « La cybersécurité des entreprises - Prévenir et guérir : quels remèdes contre les cyber virus ? », rapport d'information de MM. Sébastien MEURANT et Rémi CARDON, fait au nom de la délégation aux entreprises n° 678 (2020-2021) - 10 juin 2021.
* 2 Un rançongiciel (ou ransomware) est un logiciel malveillant ou virus qui bloque l'accès à l'ordinateur ou à ses fichiers et qui réclame à la victime le paiement d'une rançon pour en obtenir de nouveau l'accès. Certaines de ces attaques visent parfois simplement à endommager le système de la victime pour lui faire subir des pertes d'exploitation et porter atteinte à son image .
* 3 https://clusif.fr/newspaper/le-risque-associe-aux-rancongiciels-demeure-sous-evalue-dans-les-collectivites-territoriales-clusif/
Le Clusif est l'association de référence de la sécurité du numérique en France.
* 4 https://www.lesechos.fr/tech-medias/hightech/flambee-dattaques-informatiques-contre-les-mairies-en-france-1284537
* 5 Face aux membres de la commission de la défense nationale et des forces armées de l'Assemblée nationale :
* 6 https://2020.forum-fic.com/Data/ElFinder/s23/PDF/20200206-note-cyber-et-territoires.pdf?_t=1581012131