La cybersécurité est devenue un enjeu majeur pour les collectivités territoriales partout en France. Grâce à l’essor des services numériques, les territoires ne cessent d’améliorer la gestion publique et la participation citoyenne. Mais ces innovations ont un prix ! Elles s’accompagnent de risques cyber croissants, qui menacent non seulement la sécurité des données, mais aussi la continuité des services. Face aux cyberattaques, et à la cybermalveillance de manière plus générale, les acteurs publics doivent veiller à renforcer la protection de leurs ressources.
Dans cet article, nous verrons quelles sont les menaces actuelles, leurs impacts sur les collectivités, et les stratégies de protection à mettre en place pour sécuriser les infrastructures locales et conserver la confiance des citoyens.
Où qu’elles se situent en France, les collectivités territoriales font face à trois grands défis numériques : l’administration électronique, l’e-démocratie et la dématérialisation des appels d’offres. Assurer un service public efficace et continu implique d’en être conscient.
L’administration électronique est aujourd’hui un outil stratégique du service public. Les Français ont désormais accès à leur mairie depuis leur téléphone ou ordinateur. Après la crise sanitaire du COVID-19 et les différents confinements qui ont suivi, cette approche s’est démocratisée, y compris au sein des petites communes. Formulaires en ligne, espace personnel pour gérer ses services, etc., de nombreuses démarches sont à portée de clics. Mais prendre en compte les questions de cybersécurité s’impose pour éviter le chaos en cas de pannes ou de cyberattaques.
C’est d’ailleurs le même cas de figure pour l’e-démocratie, à savoir tout ce qui concerne les interactions entre la collectivité et les administrés. Si les supports numériques varient (interaction forte avec des échanges directs, interaction modérée avec des enquêtes en ligne ou les réseaux sociaux, interaction faible avec des remontées d’informations ponctuelles), la cybermalveillance ne fait aucune distinction. Des cyberattaques ciblées peuvent ainsi entraîner des pertes de données personnelles, ce qui briserait la confiance des citoyens et impacterait leurs futures participations.
Quant à la dématérialisation des appels d’offres, bien qu’elle ait permis de simplifier la vie des PME, elle est aussi vulnérable face aux risques cyber. La moindre attaque peut considérablement nuire à la crédibilité et à l’efficacité économique des collectivités.
Dans tous les cas, il faut bien comprendre que les impacts peuvent être directs (vol de données, interruption des services administratifs, etc.) ou indirects (coûts financiers pour le rétablissement des services numériques, atteinte à la réputation, conséquences juridiques, etc.). Pour toutes ces raisons, les acteurs publics doivent redoubler de vigilance.
Durant cet été 2024, l’AP-HP a été confrontée à la paralysie de ses serveurs. Cela a évidemment affecté ses outils numériques et services publics, comme l’accueil des patients, la lecture des analyses médicales ou la transmission des dossiers. S’il a depuis été confirmé qu’il s’agissait d’une panne et non d’une cyberattaque, cet incident révèle tout de même les risques importants auxquels les collectivités et territoires sont exposés en matière de cybersécurité. Un enjeu qui s’est vu confirmé par la suite avec une faille détectée chez un prestataire de Microsoft.
Avec plus de 5 millions d’agents en France, les services publics, administrations et collectivités constituent une cible de choix pour les cyberattaques. Selon le rapport d’activité 2023 « Au cœur de l’action cyber », publié par le GIP ACYMA (Groupement d’Intérêt Public Action contre la cybermalveillance), l’hameçonnage (phishing) représente la principale menace pour les collectivités territoriales, avec 27 % de demandes d’assistance, soit une hausse de 26 % par rapport à 2022. À noter qu’il existe différents types d’hameçonnage : e-mails, SMS (smishing), appels téléphoniques (vishing), publications sur les réseaux sociaux, liens sponsorisés sur les moteurs de recherches, ou encore QR codes.
Quoi qu’il arrive, ces formes de cybermalveillance cherchent à provoquer un sentiment d’urgence ou d’intérêt chez les victimes, de manière légitime et crédible, pour les inciter à réaliser une action. Il peut s’agir de leur soutirer des données personnelles ou confidentielles (mots de passe, numéros de carte bancaire, codes de validation), voire de leur faire télécharger un programme malveillant ou virus pour prendre le contrôle de leur appareil.
Après l’hameçonnage, ce sont les attaques par rançongiciel qui représentent 21 % des incidents, suivies du piratage de comptes en ligne à hauteur de 17,5 %. Bien que ces chiffres évoluent peu en termes de proportions, la hausse des volumes est alarmante : +73 % pour les défigurations de sites Internet, +71 % pour les programmes malveillants et +54 % pour les fraudes au faux support technique. On note même une hausse de 45 % pour les violations de données.
(source : rapport d’activité 2023 « Au cœur de l’action cyber », publié par le GIP ACYMA)
Pour les collectivités, ce sont autant de menaces en constante progression qui illustrent la nécessité de mieux protéger :
Pour contrer ces actes de cybermalveillance toujours plus nombreux, les politiques publiques ont légiféré et instauré des réglementations strictes. Ces dernières ont trois objectifs principaux :
Présenté le 6 mai 2010 par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction générale de la modernisation de l’État (DGME), puis révisé le 13 juin 2014, le référentiel général de sécurité (RGS) est LE guide à suivre en matière de sécurité dans les services numériques de l’administration. Non seulement il intègre des règles de protection des données et des bonnes pratiques en matière de sécurité des systèmes d’information, mais il oriente aussi les collectivités territoriales et acteurs publics dans leur gestion des risques liés à la cybermalveillance et aux cyberattaques.
Adoptée en décembre 2013, la loi de programmation militaire (LPM) se concentre sur la protection des infrastructures critiques et des activités vitales. La LPM n°2023-703, qui couvre la période 2024-2030, renforce cet engagement en matière de cybersécurité, particulièrement au sein des collectivités et des services publics. Désormais, la gendarmerie joue un rôle majeur dans la lutte contre les cyberattaques, surtout face aux enjeux de sécurité nationale.
En vigueur depuis le 25 mai 2018, le Règlement général sur la protection des données (RGPD) impose aux acteurs publics et privés de protéger les données personnelles des citoyens, et ce, sur tout le territoire de l’Union européenne (UE). Par ailleurs, la loi pour une république numérique (LRN), adoptée en octobre 2016, complète le RGPD en introduisant des mesures relatives à l’Open Data et en renforçant la protection des données induite par le RGPD. Attention, toutes les collectivités territoriales doivent se conformer à ces exigences.
La directive Network and Information Security (NIS), introduite en juillet 2016 et révisée par la suite pour devenir la directive NIS 2, entrera en vigueur en octobre 2024 et vise à garantir la protection des services essentiels au sein de l’Union européenne. Concrètement, ce texte propose des solutions de cybersécurité renforcées pour les entités publiques et privées, y compris pour les collectivités territoriales (au bon vouloir des États membres).
De manière générale, la directive NIS 2 distingue deux types d’entités : les entités essentielles (régions, départements et communes de plus de 30 000 habitants, centres de gestion, établissements publics de coopération intercommunale, etc.) et les entités importantes (communautés de communes, établissements publics administratifs, etc.).
Bon à savoir : Les collectivités territoriales sont responsables de la sécurité des données qu’elles traitent et de leurs services numériques, aussi bien vis-à-vis des autorités que des citoyens.
Chaque service peut nécessiter des actions spécifiques de mise en œuvre. L’objectif ici n’est toutefois pas de détailler ces actions qui dépendent notamment de vos infrastructures numériques, de votre gouvernance, des actions déjà menées, des systèmes en place, ou encore des plans de continuité d’activité (PCA) et de reprise (PCR) déjà éprouvés. Si besoin, vous trouverez des informations plus générales sur cette page dédiée.
Quoi qu’il arrive, nos consultants et experts en cybersécurité peuvent auditer vos dispositifs existants et vous proposer une feuille de route adaptée. Par exemple, en matière de protection des données personnelles, plusieurs mesures clés sont possibles :
Notons que la formation et la sensibilisation jouent un rôle décisif dans la création d’une culture de la cybersécurité au sein des territoires. Les entités concernées par NIS 2, comme les collectivités territoriales, doivent ainsi mettre en place des programmes de formation pour renforcer leur sécurité numérique. Cela inclut des sessions régulières sur la gestion des risques et la réponse à donner aux incidents de cybermalveillance. L’idée est bien entendu de maintenir un haut niveau de vigilance pour éviter les erreurs humaines et mauvais comportements.
Cela va de soi, il n’y a pas de prévention possible sans politiques de sécurité robustes. Une mise à jour régulière des procédures d’urgence s’impose donc pour garantir une réponse efficace aux menaces et cyberattaques.
Bon à savoir : En France, c’est l’ANSSI qui représente l’autorité nationale en matière de cybersécurité et de cyberdéfense. Elle travaille avec un vaste panel d’acteurs publics et privés pour continuellement élever le niveau de cybersécurité global (fournisseurs de produits et services de cybersécurité, secteur de la recherche et de la formation, entités institutionnelles, etc.).
Chez Adimeo, chaque prestation de conception ou de réalisation, que ce soit dans le cadre de la maintenance ou d’un projet numérique, est minutieusement préparée, réalisée et délivrée en gardant au cœur de chaque étape la sécurité des dispositifs concernés.
Le Plan d’Assurance Sécurité (PAS) est un document clé qui encadre l’organisation et la méthodologie à suivre pour gérer la sécurité des projets numériques. Établi par notre Responsable qualité en début de prestation, il assure une gestion efficace des risques cyber. Parmi les points abordés, nous pouvons citer :
Signalons aussi que le PAS peut évoluer en fonction des besoins des collectivités et de l’évolution des risques de cyberattaques. Dans tous les cas, vous validez chaque modification jusqu’à la version finale fournie lors de la phase de réversibilité.
Pour le développement, y compris les développements avec le CMS Drupal, nos experts suivent scrupuleusement les règles du Référentiel Général de Sécurité (RGS). Les principales mesures de protection incluent :
Grâce à SonarQube, nous pouvons remonter un ensemble de métriques de qualimétrie qui englobent les anomalies détectées, à l’image, par exemple, de la détection des vulnérabilités de sécurité (injection SQL, mots de passe écrits en clair, erreurs mal gérées). Le tout se base sur les standards OWASP et propose des mesures de remédiation aux équipes de développement.
Adimeo effectue une veille quotidienne pour tout ce qui concerne les incidents de sécurité. Nous nous appuyons sur les communautés Open Source et les alertes de l’ANSSI pour vous informer de tout risque, déterminer son niveau de criticité et d’impact, et mettre à jour vos services numériques.
Pour conclure, si la transformation numérique offre d’importantes opportunités pour les territoires, elle s’accompagne surtout de défis majeurs en matière de cybersécurité. Les collectivités locales doivent donc comprendre ces risques et mettre en place des stratégies efficaces pour protéger systèmes et données. En adoptant une approche proactive et en collaborant étroitement avec des experts, les territoires pourront non seulement se prémunir contre les cyberattaques, mais aussi continuer à innover et à offrir des services de qualité à leurs citoyens. Autant faire les choses bien !
Crédit photo : SmileStudioAP