Quels sont les enjeux de cybersécurité deux ans et demi après le début de la crise sanitaire ? Les organisations publiques ont-elles pleinement pris en compte cette problématique ?
Il y a deux manières de répondre. D’abord les chiffres : chaque année, notre plate-forme [Cybermalveillance.gouv.fr, ndlr] double le nombre de ses visiteurs. Deux millions et demi de visiteurs ont fréquenté la plate-forme en 2021. Et lorsqu’un particulier vient chercher de l’aide chez nous, nous aidons 1,2 entreprise et 35 collectivités. Cela montre bien que les organisations publiques sont fortement victimes – en proportion – des cyberattaques. Par ailleurs, l’étude relative à la sécurité numérique dans les collectivités de moins de 3 500 habitants qu’a publiée Cybermalveillance.gouv.fr en mai dernier pour les éclairer et lever les freins sur ces enjeux souligne le fait que ces collectivités sont insuffisamment sensibilisées à la cybersécurité, pour deux tiers des publics. La prise de conscience avance… mais reste très insuffisante. Pour preuve, 65 % des agents pensent encore que le risque est faible, voire inexistant ! Même si les petites collectivités ont connaissance des problématiques de cybersécurité, elles ont encore beaucoup de préjugés – “Ce n’est pas ma priorité” ; “Je n’ai pas le budget” ; “Je ne suis pas concerné” ; “Je n’ai pas le temps” – et ne mettent pas assez de moyens pour y faire face. D’où les fables de La Fontaine que nous avions détournées dans notre dernière campagne en juin pour sensibiliser [“Un agneau tendre et peu vigilant sur Internet naviguait. Un loup survint que la curiosité en ces lieux attirait et qui cherchait une proie à moindre coût. As-tu pensé à ta cybersécurité ?” demanda le loup. L’agneau répondit : “Ce n’est pas ma priorité”…]. Il y a urgence pour nos collectivités territoriales à s’emparer du sujet “cyber” pour se protéger.
Quels sont les enjeux pour les collectivités de moins de 3 500 habitants ?
La majorité de ces organisations publiques externalisent cet enjeu “cyber” parce qu’elles n’ont pas les moyens humains de le gérer. C’est une réponse logique… Sauf que 6 prestataires sur 10 ne sont pas encore formés à la cybersécurité ! Et certaines réactions ne sont pas adaptées, du type : “Pourquoi serais-je attaqué puisque je n’ai pas d’argent ?” Les élus ne saisissent pas tout l’intérêt et la valeur des données que les collectivités traitent concernant leurs administrés. Nous avons travaillé avec la Cnil [la Commission nationale de l’informatique et des libertés, ndlr] pour essayer de leur faire comprendre que des données compromises engagent leur responsabilité en tant qu’élus et en tant que collectivités car aujourd’hui, la majorité d’entre elles l’ignorent. C’est l’enjeu de notre guide, coédité avec la Cnil, “Obligations et responsabilités des collectivités locales en matière de cybersécurité”. Les collectivités ont des obligations en matière de protection de données, mais aussi de mise en œuvre des téléservices locaux, de respect du référentiel général de sécurité (RGS) ou d’hébergement des données de santé.
Aujourd’hui, il n’y a plus de différence d’approche entre cybersécurité et innovation, qui doivent être appréhendées dès l’origine de tout projet.
Les collectivités peuvent faire l’objet de sanctions. Mais vous êtes aussi – surtout – là pour accompagner…
Notre rôle est bien d’accompagner et d’expliquer, en soutien de la Cnil, les enjeux juridiques et de rappeler les obligations en matière de protection des données, de sécurisation des téléservices locaux et de l’hébergement des données de santé. Et l’ensemble des agents doivent être mobilisés et sensibilisés, du directeur général des services aux agents de catégorie C. Au sein d’un groupe de travail consacré aux collectivités, nous travaillons notamment avec les associations Avicca, Déclic ou encore l’Association des maires de France (AMF) pour intensifier nos actions.
Les enjeux de cybersécurité sont-ils suffisamment appréhendés comme des enjeux de transformation des organisations ?
Aujourd’hui, il n’y a plus de différence d’approche entre cybersécurité et innovation, qui doivent être appréhendées dès l’origine de tout projet. Prendre en compte la cybersécurité de sa structure constitue une opportunité de transformer une organisation et d’apporter de meilleurs services aux administrés. Cela permet aussi d’intensifier les synergies et les démarches partenariales, en mutualisant un RSSI [responsable de la sécurité des systèmes d’information, ndlr]. Les structures de mutualisation informatique – opérateurs publics de services numériques (OPSN) ou prestataires labellisés ExpertCyber – apportent des solutions opérationnelles qui accompagnent efficacement la transformation numérique des collectivités territoriales. Cette mutualisation permet un accompagnement de proximité. À l’image des entreprises, toutes les collectivités n’ont pas la taille critique pour rémunérer un RSSI.
Quels sont vos chantiers de l’automne ?
Nous continuerons bien sûr notre travail de sensibilisation et d’accompagnement des acteurs : particuliers, entreprises, associations, collectivités et administrations victimes de cyberattaques. Nous souhaitons aller plus loin avec des contenus pragmatiques permettant aux agents de s’approprier facilement les enjeux “cyber”. Nous aurons d’ailleurs l’occasion de dévoiler ces projets lors du prochain congrès de l’AMF et des présidents de l’intercommunalité en France, en novembre prochain. Et en parallèle, nous poursuivrons nos travaux dans le cadre du développement des programmations de Computer Security Incident Response Teams (CSIRT), des équipes organisées pour réagir lors d’incidents informatiques.
Propos recueillis par Sylvain Henry
