Attaques par rançongiciel à l'encontre des collectivités territoriales

Question de M. HUGONET Jean-Raymond (Essonne - Les Républicains) publiée le 09/02/2023

M. Jean-Raymond Hugonet attire l'attention de M. le ministre de l'économie, des finances et de la souveraineté industrielle et numérique sur les attaques par rançongiciel qui se sont multipliées à l'encontre des collectivités territoriales.
Maillons essentiels de la vie quotidienne de nos concitoyens, notamment par l'étendue et la variété des services qu'elles offrent, les collectivités territoriales sont au premier rang des cibles de la cybercriminalité. La numérisation de ces services, fortement engagée et croissante, accentue leur exposition au danger.
C'est notamment ce que montre le Panorama de la cybermenace 2022 établi par l'agence nationale de la sécurité des systèmes d'information (Anssi), qui fait « état des grandes tendances de la menace cyber ayant rythmé 2022. »
Elles le sont d'autant plus que, comme le montre le rapport, elles « constituent la deuxième catégorie de victimes la plus affectée par des attaques par rançongiciel derrière les très petites entreprises et petites et moyennes entreprises (TPE-PME) et les entreprises de taille intermédiaire (ETI). Elles représentent ainsi 23 % des incidents en lien avec des rançongiciels traités par ou rapportés à l'Anssi en 2022. »
Les conséquences de ces attaques sont réelles pour les collectivités. Elles « perturbent notamment les services de paie, le versement des prestations sociales et la gestion de l'état civil. » Elles représentent un coût financier très important également. Même après l'attaque, « le fonctionnement de ces entités continue d'être dégradé le temps de la reconstruction, affectant durablement les services à destination des administrés. »
Loin d'être à l'abri, les petites communes n'ont souvent pas le budget ni les formations nécessaires pour faire face à ces nouvelles menaces et risquent de voir ces attaques se multiplier dans les années à venir, menaçant l'intégrité des données qu'elles détiennent et le bon fonctionnement de l'administration de la commune de façon générale.
Il demande donc au Gouvernement quelles sont les pistes envisagées pour permettre aux communes de se prémunir contre la cybercriminalité.

Publiée dans le JO Sénat du 09/02/2023 - page 893

Transmise au Première ministre

Réponse du Première ministre publiée le 02/03/2023

Dans son Panorama de la cybermenace 2022 publié au mois de février 2023, l'Agence nationale de sécurité des systèmes d'information (ANSSI) fait apparaître que, malgré une année marquée par le conflit russo-ukrainien et ses effets dans le cyberespace, les tendances identifiées en 2021 se sont confirmées en 2022. Le niveau général de la cybermenace se maintient avec 831 intrusions avérées contre 1082 en 2021. Celle légère diminution ne saurait être interprétée comme une baisse du niveau de la menace. En effet, la diminution de l'activité de cyber-rançonnage des opérateurs régulés publics et privés observée par l'ANSSI traduit avant tout une bascule d'effort des attaquants. Les activités criminelles visent désormais prioritairement les entités les moins bien protégées. Parallèlement les malfaiteurs perfectionnent constamment leurs capacités d'attaque, utilisées à des fins crapuleuses, d'espionnage et de déstabilisation. Ce perfectionnement s'illustre en particulier dans le ciblage d'accès aux réseaux des victimes les plus discrets et pérennes, via des équipements périphériques. Ce ciblage périphérique se décline également dans le type d'entités attaquées et confirme l'intérêt des attaquants pour les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l'écosystème plus large de leurs cibles finales. La convergence des outils et des techniques des différents types d'attaquants se poursuit également en 2022 et continue de poser des difficultés de caractérisation de la menace. L'utilisation de rançongiciels d'origine crapuleuse par des services gouvernementaux illustre une porosité déjà identifiée en 2021. Dans ce contexte, il convient de maintenir ou intensifier l'ensemble des efforts de rehaussement du niveau de cybersécurité des entités publiques, parmi lesquelles les collectivités et les établissements hospitaliers. S'agissant des établissements hospitaliers, un important travail est en cours, à la demande de la Première ministre, sous l'égide du ministre de la santé et avec le concours de l'ANSSI. S'agissant des collectivités territoriales, beaucoup a été fait récemment grâce aux crédits du plan d'investissement France relance. Piloté par l'ANSSI, ce plan vise à augmenter durablement le niveau de cybersécurité de l'État et des services publics. Ce plan, doté de 176 millions d'euros sur la période 2021-2022, a permis de déployer plusieurs dispositifs au profit de la cybersécurité des services publics et d'augmenter concrètement leur niveau de sécurité. Les collectivités territoriales ont été les premières bénéficiaires de ce plan, à hauteur de 94 M€. Ces crédits ont financé des parcours de cybersécurité qui comprennent à la fois une évaluation de leur niveau de cybersécurité de la collectivité, l'établissement d'une feuille de route efficace et pragmatique et le déploiement des solutions indispensables à une élévation rapide et concrète de leur niveau de cybersécurité. L'accompagnement dont bénéficient les collectivités revêt trois aspects : il est financier, sous la forme d'une subvention de 90 000 euros ; méthodologique, avec une démarche conçue par l'ANSSI ; humain, grâce à un suivi personnalisé par des prestataires spécialisés. Plus de 700 collectivités ont ainsi pu être accompagnées en deux ans, pour disposer d'une évaluation de la sécurité de leurs systèmes d'information et d'un soutien pour les protéger concrètement et de manière adaptée. Ils ont aussi financé des appels à projet de déploiement de produits de sécurité. Ce mécanisme permet de financer l'installation à grande échelle de solutions efficaces de sécurité dans les collectivités territoriales, en recourant à des opérateurs de services numériques. Ces appels à projets contribuent ainsi au déploiement et à la sécurisation, par ces opérateurs, de solutions informatiques mutualisées au profit des plus petites communes ne disposant pas de compétences informatiques, ni de budgets permettant de financer un tel effort. Ils permettent notamment de subventionner les licences globales de certaines applications ou produits de sécurité essentiels (antivirus, pare feu, protection de messagerie). Au travers de 27 projets, un potentiel de 11 000 communes est ainsi couvert pour un montant de 5,2 M€. Le plan d'investissement a aussi permis de soutenir la création de centres régionaux de réponse aux incidents de cybersécurité. Ces centres aident les structures de taille intermédiaire (entreprises, collectivités, associations…) à faire face en cas d'attaque. Sur les treize régions métropolitaines, douze sont engagées dans la démarche et ont ainsi bénéficié d'une subvention d'1 million d'euros chacune permettant le fonctionnement du centre pendant 3 ans et d'un programme d'incubation, au sein de l'ANSSI et du CERT-FR, pour leur assurer une mise en route rapide. Deux centres sont aujourd'hui en service. Les autres seront opérationnels en 2023. Un effort particulier a été consenti au bénéfice des collectivités d'outre-mer, avec la création de centres de ressources en cybersécurité visant à faire émerger, par zone géographique, les compétences nécessaires au développement d'une cybersécurité locale. Ce développement passe par un travail de sensibilisation, de mises en relation et d'animation d'un écosystème constitué d'offreurs, de demandeurs et de l'ensemble des acteurs et parties prenantes du domaine.

Publiée dans le JO Sénat du 02/03/2023 - page 1529