Sécurité des infrastructures numériques des collectivités

Question de Mme PROCACCIA Catherine (Val-de-Marne - Les Républicains) publiée le 14/07/2022

Mme Catherine Procaccia attire l'attention de Mme la ministre déléguée auprès du ministre de l'intérieur et des outre-mer et du ministre de la transition écologique et de la cohésion des territoires, chargée des collectivités territoriales sur la vulnérabilité informatique des collectivités, de plus en plus sujettes à des attaques malveillantes.

Ces derniers mois, à l'instar de nombreuses entreprises, plusieurs collectivités ont été les victimes d'attaques de pirates informatiques, dont trois dans le Val-de-Marne (Vincennes, Alfortville et Marolles-en-Brie). Probablement encouragés par la crise sanitaire et le développement croissant des usages numériques, ces hackers cherchent à voler de la donnée puis à la revendre, soit sur le dark web, soit à son propriétaire initial sous la forme d'une rançon. Les communes sont pour ces délinquants du net des cibles de choix, avec bien souvent un manque de moyen pour se prémunir contre le risque, ou à lutter contre la menace une fois qu'elle se présente.

Dans cet esprit, l'association des maires de France et l'agence nationale de la sécurité des systèmes d'information (ANSSI) ont élaboré un guide mettant en avant les bonnes pratiques à adopter pour minimiser le risque. Si ce travail est à saluer en ce qu'il fonde les bases d'un socle de sécurité, l'application de ces recommandations dans les communes reste parcellaire. Se bornant davantage à sensibiliser qu'à réellement protéger, la route reste longue avant d'assurer une réelle sécurité informatique des données publiques. Il ne peut pas revenir à près de 35 000 communes d'organiser individuellement leur pare feu contre une menace polymorphe.

En conséquence, elle l'interroge pour savoir si un travail est actuellement en cours pour permettre une meilleure protection des collectivités. Elle lui demande s'il est concevable, comme cela a été proposé par certains experts, de créer un « antivirus ANSSI » disponible gratuitement pour chaque acteur public. Outre le travail de labellisation « SecNumCloud », elle lui demande s'il est possible d'imaginer un service public en nuage, sécurisé par l'ANSSI et disponible pour les collectivités qui souhaiteraient extérioriser le stockage de leurs données.

Publiée dans le JO Sénat du 14/07/2022 - page 3528

Transmise au Ministère de l'intérieur et des outre-mer

Réponse du Ministère de l'intérieur et des outre-mer publiée le 24/08/2023

Le ministère de l'intérieur et des outre-mer et le ministère délégué chargé des collectivités accordent une attention particulière aux enjeux liés à la sécurité des systèmes d'information des collectivités. C'est pourquoi une partie des 136 millions d'euros consacrés au financement de la cybersécurité par France Relance est dédiée au renforcement des capacités de cyberdéfense des territoires. Selon l'agence nationale de la sécurité des systèmes d'information (ANSSI), « le volet cybersécurité de France Relance […] cible en priorité certains secteurs et entités parmi les plus critiques dont la cybersécurité nécessite un renforcement urgent et soutenu. Il accorde ainsi une importance particulière aux collectivités territoriales et aux organismes au service du citoyen, en particulier dans le domaine social, de la santé, de la formation et de l'information ». Le secrétaire général du ministère de l'intérieur et des outre-mer a, par circulaire en date du 20 avril 2022, rappelé aux préfets de région et de département la nécessité de structurer l'action publique territoriale en leur assignant un rôle de coordination des différents acteurs locaux : délégué régional de l'ANSSI, conseils régionaux par le biais des CIRT régionaux (centres de conseils et de soutien vis-à-vis des collectivités locales et des TPE/PME en cas de de cyberattaque, dotés chacun d'un million d'euros du plan France Relance). Les services du ministère de l'intérieur et des outre-mer (DGSI, DGPN, DGGN) assurent une mission de sensibilisation à la cybermenace en organisant des sessions d'information et en alertant les plus vulnérables. Les préfets de région et de département réalisent cette action de coordination dans le but de structurer la politique de sensibilisation et de prévenir et de gérer une éventuelle crise déclenchée par une attaque numérique qui aura des impacts sur la vie économique et sociale. Il convient de signaler que dans le cadre de la mise en oeuvre de la LOPMI, l'une des mesures retenue prévoit de sensibiliser 100 % des entreprises et des institutions aux risques que représente la cybercriminalité par la mise à disposition de l'ANSSI du maillage territorial du ministère de l'intérieur et des outre-mer. Concrètement, la DGGN conduit des actions de sensibilisation au sein des entreprises locales dans le cadre de partenariats relevant des échelons territoriaux de commandement. La DGSI et son réseau, en matière de cybercriminalité, continueront d'effectuer, sur l'ensemble du territoire, des actions de sensibilisation, au bénéfice d'entreprises privées et d'administrations centrales, territoriales, d'établissements de recherche, dans les domaines d'activité signalés pour leur intérêt, leur importance et leur sensibilité. Ces actions s'adressent majoritairement à leurs dirigeants et cadres et sont dispensées lors de conférences dédiées à un auditoire plus ou moins restreint. Egalement prévu dans la LOPMI, le Gouvernement remettra au Parlement, avant le 31 décembre 2023, deux rapports d'évaluation en matière de cybersécurité (protection des collectivités territoriales et protection des entreprises). Des crédits votés dans la LOPMI permettront de créer une école de formation cyber au sein du ministère et l'équivalent numérique de "l'appel 17", le 17 Cyber, pour signaler en direct une cyberattaque ou une escroquerie en ligne. De plus, 1 500 cyber-patrouilleurs seront déployés. Le code de procédure pénale est, en outre, modifié pour permettre aux policiers, sur autorisation de l'autorité judiciaire, de saisir des actifs numériques. Pour une meilleure information de la police et de l'autorité judiciaire, les clauses de remboursement des cyber-rançons par les assurances sont encadrées. Le remboursement est désormais conditionné au dépôt d'une plainte de la victime dans les 72h après connaissance de l'infraction. Les parlementaires ont prévu que l'obligation soit limitée aux professionnels et qu'elle s'applique 3 mois après la promulgation de la loi. L'assurabilité sous conditions des cyber-rançons est une recommandation du ministère de l'économie, figurant dans son rapport sur "le développement de l'assurance du risque cyber". À l'initiative des députés, les peines encourues en cas de cyberattaques contre un réseau informatique ou bancaire, les hôpitaux et les services de numéros d'urgence ont été aggravées. Il convient de mentionner que l'ANSSI pourra bien évidement rendre compte de son action globale sur le sujet.

Publiée dans le JO Sénat du 24/08/2023 - page 5061