Comptabilité, gestion du personnel, inscriptions des enfants à la garderie… Nombreux sont les services désormais digitalisés qui permettent le bon fonctionnement des collectivités territoriales. Ces dernières brassent une quantité de données personnelles et sensibles qui intéressent les cyberattaquants. Face à l’avènement du digital, les collectivités territoriales n’ont pas toujours conscience qu’elles sont exposées au risque cyber, et ce, peu importe leur taille. En effet, elles représentent 23% des incidents en lien avec des rançongiciels traités par ou rapportés à l’ANSSI.
Quelles sont les clés de la résilience pour nos territoires ? Comment instaurer un numérique de confiance ?
Pour répondre à toutes ces questions, nous avons organisé une table ronde intitulée « Collectivités & territoires : le numérique de confiance, un pilier essentiel de la cyber résilience ! » à l’occasion de la 9e édition des Universités d’Été de la Cybersécurité et du Cloud de Confiance, avec la participation d’experts :
- Sylvain Lefeuvre, Head of Sales, Oodrive,
- Murielle Bochaton, Directrice Commerciale, Nameshield,
- Emmanuel Carjat, Directeur Général, AntemetA,
- Florence Puybareau, Directrice des Opérations, Campus Cyber Hauts de France – Lille Métropole,
- Frédéric Masquelier, Maire de Saint-Raphaël et co-président de la commission sécurité de l’AMF,
- Sylvain Lambert, ex-RSSI, Président des Maire Ruraux des Yvelines et Maire de Rochefort-en-Yvelines
Visionnez le replay de cette table ronde ci-après.
« Collectivité territoriale », un concept qui recouvre une multitude de cas
Le dictionnaire Larousse définit la collectivité territoriale comme « Structure administrative française, dotée de la personnalité morale, qui prend en charge les intérêts de la population d’un territoire déterminé ». Derrière cette définition se regroupe une multitude de réalité, allant de la petite commune rurale de 35 habitants à la région en tant qu’institution regroupant donc un ensemble territorial beaucoup plus élevé. On a donc affaire à des cas très différents. Frédéric Masquelier l’exprime ainsi : « Il n’y a rien à voir entre un village, une ville moyenne et une grande ville ». Il est impossible d’avoir un discours homogène envers des acteurs si différents, ce qui complique la démarche de cybersécurisation, qui commence dès la sensibilisation.
Pourtant, les collectivités territoriales, bien que différentes, ont des points communs. « L’ensemble des communes sont de plus en plus digitales, l’information numérique se retrouve un peu partout » souligne Emmanuel Carjat. « Vous êtes tous responsables, à titre de maire de votre commune, de ce patrimoine numérique, […] responsables d’un grand nombre d’informations qui vous sont confiées », notamment les données personnelles et sensibles de leurs administrés via les logiciels de gestion de paye, de comptabilité ou encore de réservation de la cantine. « Qu’on soit habitant de Paris ou un habitant d’une commune moyenne, la criticité reste la même », explique Sylvain Lefeuvre. C’est pour cette raison qu’il ne devrait pas y avoir autant de disparités entre les moyens mis en jeu pour protéger les grandes villes et les petites communes.
Ces données intéressent les cyberattaquants. Avec l’IA et le Big Data, les petites communes ne sont plus épargnées par des attaques qui ont un but lucratif, et font en réalité l’objet d’attaques groupées. « Du point de vue des attaquants, il n’y a pas de petites communes, il y a un ensemble de communes sur lequel l’ensemble des attaques sont dirigées. Et un jour, quelqu’un clique sur le mauvais e-mail », expose Emmanuel Carjat. Au-delà de la prise de conscience, l’enjeu des collectivités territoriales est d’accepter qu’elles soient désormais des cibles.
Des collectivités territoriales mal préparées au risque cyber
Une fois la vulnérabilité acceptée, les collectivités territoriales doivent prendre conscience du fait qu’elles ne sont pas prêtes en cas de cyberattaque. Sylvain Lambert résume bien le ressenti des élus face au risque cyber, en déclarant : « On nous force à aller dans un monde où on n’est pas préparé à subir les différentes attaques ». En effet, de nombreux éléments concourent à l’impréparation des collectivités territoriales face au risque cyber.
Tout d’abord, le risque cyber est particulier car il relève de l’invisible. Quand un pont fissure, on peut voir qu’il risque de s’effondrer et mettre des choses en place pour pouvoir le réparer dans les plus brefs délais. Avec le risque cyber, il faut déjà se rendre compte que son infrastructure est mal protégée. Par manque de sensibilisation, peu de citoyens ont conscience que leurs données personnelles sont stockées sur les serveurs des collectivités et qu’elles sont susceptibles de fuiter en cas de cyberattaque. Ce n’est donc pas une thématique, à moins que la collectivité ait auparavant été victime de ce genre d’incident, qui pousse les administrés à mettre un bulletin dans l’urne. La cybersécurité est donc rarement un sujet qui figure comme une priorité sur les programmes électoraux.
De ce fait, peu de budget est alloué par les collectivités territoriales à leur cybersécurité. L’État s’est attaqué à ce problème avec les Parcours France Relance, qui a permis de subventionner certaines collectivités qui en ont fait la demande pour les accompagner dans cette démarche. Toutefois, ce dispositif a eu des limites. Entre autres, la somme proposée ne représentait que 10 à 15% du budget nécessaire à la cybersécurité des collectivités participantes. Cela a donc eu parfois l’effet inverse de celui qui était escompté, à savoir le découragement de certaines communes face au manque de moyens. Or, selon Emmanuel Carjat, les collectivités doivent se faire aider dans leur démarche de cybersécurité. Il est beaucoup plus simple de recevoir l’assistance de nombreux acteurs privés lorsque l’on dispose d’un budget conséquent. « Lorsque vous avez un million d’euros ou moins de budget pour l’ensemble de la commune, j’imagine que vous avez relativement peu de milliers d’euros à consacrer à la cybersécurité » indique le directeur général d’AntemetA. « La vraie question qui se pose donc, c’est “quelles solutions extrêmement simples et extrêmement automatisées on va pouvoir mettre en œuvre en même temps que cette transformation numérique ?” ».
Au manque de moyens financiers s’ajoute également le manque de personnel et le manque de temps. Tout d’abord, la filière cyber est concernée par un manque de talents. Ces derniers ont tendance à préférer le secteur privé, où les salaires sont plus élevés. Mais ce n’est pas tout, puisque les collectivités territoriales ont aussi du mal à recruter du personnel administratif. C’est notamment le cas des mairies, qui rencontre une véritable pénurie d’emploi de secrétaires administratifs. Cela influe sur la gestion de leur cybersécurité, puisque les équipes n’ont pas ou peu de temps pour se préparer à une crise cyber.
Enfin, les collectivités territoriales ne sont pas exposées aux mêmes risques cyber, tout simplement parce qu’elles n’ont pas toutes le même degré de digitalisation. Les petites communes n’ont pas beaucoup de services exposés sur internet, contrairement aux métropoles ou à des grandes villes qui adoptent une démarche de smart city. Le risque est donc moins direct pour elles et provient essentiellement de leurs prestataires, mais encore faut-il qu’elles en aient conscience (et que les offreurs aussi).
Parlons des risques, mais parlons aussi des solutions !
Florence Puybareau, lors de cette table ronde, préconise de « parler des risques, mais aussi de parler des solutions ». Selon elle, être anxiogène à propos de ce sujet ne permettrait pas de faire avancer les choses. Au cours de cette table ronde, les différents intervenants ont effectivement énoncé des solutions, que nous rapportons ici. Comme nous l’avons exposé précédemment, il y a déjà une problématique autour de la prise de conscience du risque cyber et cela peut déjà être solutionné par de la sensibilisation. Des actions ont déjà été faites en ce sens, notamment grâce aux Parcours France Relance, que nous avons déjà cité. Mais il reste beaucoup à faire, que ce soit auprès des employés des collectivités territoriales ou auprès des habitants.
Il convient également d’améliorer la résilience des collectivités territoriales. Pour cela, il faut établir un plan d’action en cas de cyberattaque, afin de ne pas se trouver démuni en cas d’incident. Seulement 25% des communes sont équipées au niveau PCA (Plan de Continuité d’Activité) – PRA (Plan de Reprise d’Activité). Autrement dit : 75% des communes ne sont pas en mesure de rétablir l’activité informatique en cas d’attaque et sont donc particulièrement vulnérables. C’est donc une solution d’amélioration pour améliorer sa cybersécurité. Mais, quand bien même un PCA/PRA est en place, encore faut-il s’assurer de son bon fonctionnement. Les collectivités « font de nombreux tests, incendie par exemple, pour vérifier que ces plans fonctionnent », cependant « le test du plan de secours cyber est relativement peu fait », déplore Emmanuel Carjat. « Je pense que les services ne savent pas le mettre en œuvre ». Pourtant, pour se préparer au pire dans les meilleures conditions, rien de tel qu’un bon entraînement, et cela ne vaut pas que pour le cyber.
Afin de prévoir un entraînement efficace et de connaître les bons gestes, une des clés de l’amélioration de la cybersécurité des collectivités territoriales est le partage de retour d’expérience. « Les collectivités territoriales essayent de rester discrètes sur les investissements pour ne pas attirer plus de cyberattaquants, excités à l’idée de faire tomber toujours plus gros et plus secure. », explique Murielle Bochaton. Cette discrétion, alliée au fait que les collectivités territoriales sont parfois pointées du doigt dans les médias, n’encourage pas la discussion. Pourtant, parler, c’est déjà agir !
« Le souci du risque informatique, c’est qu’il est omniprésent et que vous n’avez pas d’interlocuteurs », décrit Frédéric Masquelier. Il existe Cybermalveillance.gouv.fr, une plateforme où l’on peut signaler les incidents, mais le fait que cela soit dématérialisé peut-être un obstacle pour certaines collectivités qui souhaitent des interlocuteurs de proximité. Les Campus Cyber régionaux peuvent donc être une solution dans ce cas, puisqu’ils abritent des CSIRT dont les équipes sont habilitées à aiguiller les entreprises et les collectivités en cas de problème. Leur existence étant très récente, ils doivent prendre le temps de s’imposer en tant qu’interlocuteur de choix sur leurs territoires et de tisser des liens avec les différentes collectivités mais ils restent une solution prometteuse.
Enfin, pour améliorer la cybersécurité de nos collectivités, les offreurs doivent proposer des solutions qui leur sont adaptées. « Il nous faut des solutions simples, labellisées, qu’on est capables de comprendre, supportées et qui nous coûtent pas cher », lance Sylvain Lambert lors de la table ronde. Les entreprises qui proposent des solutions cyber et cloud doivent rester pragmatiques et ne doivent pas oublier qu’elles ont affaire à des non-spécialistes. Proposer des solutions clé en main ou automatisées, comme le font Nameshield, AntemetA et Oodrive peut grandement améliorer la situation.