B. LA SENSIBILISATION DES ÉLUS ET DU PERSONNEL AUX ENJEUX DE LA CYBERSÉCURITÉ
Vos rapporteurs sont convaincus que le recours au numérique améliore l'efficacité de l'action publique locale dans des domaines très importants pour nos concitoyens, aux premiers rangs desquels la préservation de l'ordre public et la prévention des risques .
Ils sont tout autant persuadés d'une nécessité impérieuse : à mesure que les usages numériques se développent, notre devoir de vigilance et de protection s'intensifie. En effet, les collectivités territoriales sont responsables de la sécurité des données qu'elles traitent et de leurs services numériques vis-à-vis des autorités et des citoyens. En conséquence, elles doivent garantir à leurs usagers un niveau optimal de protection et une mise à jour permanente des systèmes de protection. En d'autres termes, les démarches « développement des usages » / « renforcement du bouclier » apparaissent indissociables avec un objectif clairement identifié pour les collectivités locales : marcher sur « deux jambes » et se garder de créer des « colosses numériques aux pieds d'argile ».
Or, le dernier rapport de votre délégation, réalisé conjointement avec la délégation aux entreprises, souligne l'ampleur du défi de la cybersécurité que les élus doivent relever 13 ( * ) . Ainsi, en 2020, près de 30 % des collectivités territoriales ont été victimes d'une attaque au rançongiciel 14 ( * ) selon une étude du Clusif 15 ( * ) . En effet, cette même année a vu le nombre de cyberattaques contre des collectivités territoriales augmenter de 50 % par rapport à 2019.
Comme le souligne le Groupement d'intérêt public « Action contre la cybermalveillance » sur son site Internet : « L'explosion des usages numériques ces dernières années , qui s'est encore accentuée avec la crise sanitaire par le télétravail massif, le téléenseignement, le commerce en ligne, a vu en corollaire une recrudescence sans précédent des faits de cybermalveillance. Contrairement à l'image souvent véhiculée, les cybercriminels ne sont plus aujourd'hui les seuls adolescents immatures que l'on peut imaginer. Ils s'organisent sur le darknet en équipes très structurées et compétentes pour maximiser leurs profits . Leur seule idéologie est de chercher à gagner le plus d'argent possible, peu importent les conséquences pour les victimes qui peuvent avoir leurs systèmes d'information chiffrés, pillés, sabotés etc. Particuliers, entreprises, collectivités, associations et mêmes hôpitaux et États, plus personne n'est aujourd'hui, et ne sera demain, épargné ».
Au regard de ces enjeux, le rapport précité évoque plusieurs pistes de réflexion :
• sensibiliser les élus et leurs services aux enjeux de la cybersécurité. En particulier, un travail d'information doit être mené sur l'ampleur des menaces numériques et sur l'existence de lourdes conséquences en cas d'attaques (dysfonctionnement des services publics locaux, perte de données, conséquences humaines et financières...) ;
• mettre en place des procédures de continuité et de reprise d'activité en cas de survenance d'une crise d'origine numérique ;
• valoriser les fonctions de RSSI 16 ( * ) dans les collectivités d'une certaine taille et en faire un véritable « directeur stratégique de la Sécurité numérique » en lien direct avec les élus et en charge d'une veille permanente sur la cybersécurité.
Les auditions menées par vos rapporteurs ont confirmé l'entière pertinence de ces propositions , que vos rapporteurs font leurs. Elles s'imposent d'autant plus dans le cadre d'outils d'aide à la protection des populations, qui doivent naturellement bénéficier d'un très haut niveau de protection.
À cet égard, vos rapporteurs saluent l'initiative de notre collègue Laurent LAFON, auteur d'une proposition de loi pour la mise en place d'une certification de cybersécurité des plateformes numériques destinée au grand public, texte actuellement en cours de discussion au Parlement 17 ( * ) . L'exposé des motifs du texte présente les enjeux du sujet et salue en particulier les travaux de la commission d'enquête du Sénat sur la souveraineté numérique qui a « montré l'importance d'adopter une réelle stratégie de maîtrise et de protection des données publiques, face aux attaques quotidiennes contre leurs systèmes d'information, qui menacent la continuité du service public et la sécurité des données de nos concitoyens » 18 ( * ) .
Sur proposition de la commission des affaires économiques et en accord avec l'auteur de la proposition de loi, le Sénat a complété le texte afin de créer « un cyberscore » des solutions numériques . Le rapport souligne qu'un tel dispositif bénéficierait indirectement aux « collectivités rurales en renforçant leur niveau d'information sur les solutions grand public qu'ils sont susceptibles d'utiliser » 19 ( * ) .
Vos rapporteurs ont mesuré, lors des auditions, combien cette proposition séduisait les élus locaux, en particulier ceux des petites communes. En effet, ces derniers se trouvent souvent démunis face aux choix multiples qui s'offrent à eux en matière de services numériques, car ils ne bénéficient pas d'une information intelligible et accessible sur le niveau de protection dont bénéficient les outils numériques qui existent sur le marché.
Lors de table-ronde organisée par votre délégation et la délégation aux entreprises 20 ( * ) , Mme Gwenaëlle Martinet, cheffe de projet France Relance a jugé « intéressante » l'initiative du cyberscore tout en appelant à une certaine prudence : « elle doit être manipulée avec précaution, car c'est une photo à l'instant T, qui varie très rapidement. Il faut garder une attention constante en matière de cybersécurité, étant donné qu'un cyberscore satisfaisant à un moment ne durera que si l'on continue d'investir ».
Vos rapporteurs souscrivent pleinement à cette analyse. Ils recommandent aux élus et aux agents territoriaux de faire preuve, en matière de sécurité des données, d'une vigilance permanente lorsqu'ils développent les usages numériques, en particulier dans le domaine de la protection des populations.
Si cette vigilance est évidemment de mise pour les données issues des dispositifs de protection de l'ordre public, elle a également toute sa pertinence en matière de risques naturels .
Le ministère de l'environnement a ainsi souligné deux conséquences pouvant résulter d'une action de cybermalveillance :
• la non-disponibilité de l'information sur les risques , notamment en période de vigilance ou de crise ;
• l'altération de l'information (atténuation par exemple), ce qui pourrait avoir des conséquences catastrophiques.
Il est donc essentiel de sécuriser tous les outils numériques de protection des populations et de prévoir des plans de continuité d'activité en cas d'attaque.
Vos rapporteurs appellent en particulier les collectivités locales à veiller à la sécurisation des données, soit au moyen de « data centers », soit via la solution, encore expérimentale, du « cloud souverain ». Ce dernier est constitué d'un ensemble de ressources « serveurs » disponibles sur le territoire national et appartenant à un acteur français . Cette solution présente de nombreux atouts par rapport à un data center : d'une part, elle offre des moyens de stockage et de traitement quasiment illimités ; d'autre part, le cloud est bien mieux sécurisé qu'un data center dans la mesure où les « cloud providers » ont mis au point des techniques sophistiquées de sécurisation des données qui leur sont confiées.
* 13 « Les collectivités territoriales face au défi de la cybersécurité » ; Rapport d'information de M. Serge BABARY et Mme Françoise GATEL, fait au nom de la délégation aux entreprises et de la délégation aux collectivités territoriales n° 283 (2021-2022) - 9 décembre 2021
* 14 Un rançongiciel (ou ransomware) est un logiciel malveillant ou virus qui bloque l'accès à l'ordinateur ou à ses fichiers et qui réclame à la victime le paiement d'une rançon pour en obtenir de nouveau l'accès. Certaines de ces attaques visent parfois simplement à endommager le système de la victime pour lui faire subir des pertes d'exploitation et porter atteinte à son image .
* 15 https://clusif.fr/newspaper/le-risque-associe-aux-rancongiciels-demeure-sous-evalue-dans-les-collectivites-territoriales-clusif/ . Le Clusif est l'association de référence de la sécurité du numérique en France.
* 16 Responsable de la sécurité des systèmes d'information
* 17 Cette proposition de loi a été déposée au Sénat le 15 juillet 2020. Le dossier législatif est accessible sur cette page .
* 18 « Le devoir de souveraineté numérique » - rapport de M. Gérard LONGUET, fait au nom de la commission d'enquête n° 7 tome I (2019-2020) - 1 er octobre 2019. Le président de cette commission d'enquête, Franck MONTAUGE, a d'ailleurs été entendu par vos rapporteurs.
* 19 Rapport n° 38 (2020-2021) de Mme Anne-Catherine LOISIER, fait au nom de la commission des affaires économiques, déposé le 13 octobre 2020. Le rapport précise que « ce dispositif reste très largement à construire, c'est pourquoi la proposition de loi renvoie à des textes d'application. La difficulté résidera sans doute dans la définition des indicateurs pertinents. On peut, par exemple, penser au chiffrement de bout en bout pour les services numériques impliquant des communications. On peut également imaginer des critères de nature moins technique et se rapprochant de la logique de « name and shame », comme le nombre de condamnations par une autorité en charge de la protection des données personnelles ou le nombre de failles mises à jour ».
* 20 Le compte-rendu est disponible sur ce lien : http://www.senat.fr/compte-rendu-commissions/20211104/2021_10_28.html#toc3