En 2022, les collectivités ont représenté en France 23 % des incidents en lien avec des rançongiciels traités par ou rapportés à l’ANSSI. Et si l’on prend la période entre janvier 2022 et juin 2023, l’agence a recensé 187 incidents de sécurité ciblant des collectivités territoriales Mais quel est leur rapport à la cybersécurité ? Quels dispositifs ont-elles mis en place ? Quel budget y consacrent-elles ? Et quelles difficultés rencontrent-elles ?
Pour mieux comprendre les attentes des collectivités en matière de cybersécurité et mieux appréhender leur niveau de protection, Cybermalveillance.gouv.fr est allé enquêter ! « Dans un contexte de recrudescence, de sophistication de la menace et de nécessaire transformation numérique, la cybersécurité est plus que jamais un enjeu majeur pour les collectivités, régulièrement ciblées par les attaquants », souligne l’organisme.
Le Groupement d’Intérêt Public (GIP), qui vient en aide à toutes les victimes de cybermalveillance en dehors du périmètre d’intervention de l’ANSSI, a donc conduit une étude auprès de 1 178 représentants de collectivités de moins de 25 000 habitants. Ces dernières représentent 99 % des 34 945 communes françaises et 67 % de la population française totale.
Et une sur 10 a été victime d’au moins une cyberattaque au cours des 12 derniers mois.
Des cyberattaques aux conséquences importantes
Les cyberattaques visant les collectivités peuvent entraîner de multiples conséquences pour les administrations et les administrés : interruption de service, destruction et vol de données, pertes financières, atteinte à l’image de la collectivité et des élus, etc. Les territoires s’appuyant de plus en plus sur le numérique pour leurs propres opérations et pour les services aux usagers, ces interruptions peuvent avoir très rapidement des répercussions graves. Les établissements hospitaliers par exemple, sont fréquemment ciblés par les pirates.
Une lente prise de conscience des enjeux cyber
Un des points positifs de l’étude réalisée par Cybermalveillace est la hausse de la prise de conscience des enjeux liés à la cybersécurité, résultant notamment d’une multiplication des actions de sensibilisation.
En 2023, 8 élus et agents sur 10 déclarent avoir été sensibilisés au moins une fois, contre seulement 3 sur 10 en 2021. En revanche, rares sont les collectivités ayant mis en œuvre des actions de sensibilisation régulières.
Des moyens limités face aux cybermenaces
Si les collectivités de moins de 25 000 habitants représentent les deux tiers de la population française, il est indispensable de rappeler que la plupart de ces collectivités ont de très faibles moyens informatiques.
On pourrait croire que ce faible nombre de postes informatiques est synonyme d’une faible exposition aux risques cyber. Au contraire, ces moyens limités entraînent des usages à risques, particulièrement avec le développement du travail à distance.
En toute hypothèse, la gestion de la cybersécurité est majoritairement externalisée. On note cependant que près de 1 collectivité sur 10 n’assure aucune gestion de sa sécurité.
Pour les collectivités équipées, les dispositifs de sécurité les plus fréquemment mis en place sont les sauvegardes (85 %), l’antivirus (85 %), le pare-feu (62 %), une politique de mot de passe avec des exigences en termes de longueur et de renouvellement (40 %), ou encore un gestionnaire de mots de passe (21 %).
Si 94 % des collectivités sont équipées de 3 dispositifs en moyenne, on constate que les moyens de protection les plus avancés (SOC, solution de détection d’attaques, double authentification) concernent moins d’une collectivité sur 10.
Les disparités observées dans le budget informatique des collectivités sont accentuées en matière de cybersécurité, notamment pour les collectivités représentant peu d’habitants et/ou n’ayant pas perçu les impacts potentiels des attaques informatiques, qui accordent peu d’importance au sujet.
À l’inverse, 47 % des collectivités comprenant entre 10 000 et 25 000 habitants prévoient de faire évoluer leur budget cybersécurité à la hausse, ce qui atteste d’une réelle prise de conscience des enjeux et d’une capacité à mobiliser des moyens pour se protéger efficacement. Rares sont toutefois les collectivités qui sont prêtes à réagir à une cyberattaque.
Les freins et attentes des collectivités en matière de cybersécurité
Les collectivités interrogées sur les principaux freins à l’acquisition d’un bon niveau de sécurité font état d’un vrai manque de connaissance sur le sujet (45 %) et de l’absence de ressources humaines dédiées (38 %). Elles déclarent également manquer de temps et/ou de budget (34 %). Plus inquiétant, 8 % des collectivités ne se sentent pas concernées par le sujet et 12 % ne savent pas vers qui se tourner.
Source : « Étude : la cybersécurité dans les collectivités de moins de 25 000 habitants », Cybermalveillance.gouv.fr, 20 novembre 2023.
