Maire-info
Le quotidien d’information des élus locaux

Édition du mercredi 3 novembre 2021
Numérique

Cybersécurité dans les collectivités territoriales : une forte demande d'accompagnement de l'État

Les Délégations du Sénat aux entreprises et aux collectivités territoriales ont organisé jeudi dernier une table-ronde consacrée aux collectivités territoriales face au défi de la cybersécurité. L'occasion de faire le point sur les difficultés rencontrées jusqu'ici par les collectivités.

Par Lucile Bonnin

« Il faut sensibiliser tous nos collègues et toutes les collectivités territoriales à l’urgence de prendre les mesures appropriées pour renforcer leur cybersécurité. »  Voilà pourquoi cet échange est important, selon Serge Babary, président de la délégation aux entreprises. Beaucoup de questions complexes ont été abordées durant cette table ronde : Quel est le degré de conscience des collectivités de ce danger ? Comment les collectivités s’emparent de ces questions ? Une chose est certaine pour Françoise Gatel, présidente de la délégation aux collectivités territoriales du Sénat : « Il doit y avoir une gouvernance, c’est-à-dire une définition politique du sujet. » 

Cyberattaque : une réalité dont les collectivités peuvent témoigner 

« Cela n’arrive pas qu’aux autres ! » , déclare Marie Nedellec, adjointe au maire de La Rochelle (Charente-Maritime) chargée notamment de la Transformation numérique et des systèmes d’information. La ville de La Rochelle a été victime d’une cyberattaque le 26 décembre dernier. « Cela a mis la ville à plat : plus d’utilisation des parkings souterrains car les barrières sont gérées informatiquement, le service d’état civil à plat, les ressources humaines internes aux collectivités également et nous ne pouvons plus délivrer de permis d’inhumer pendant une semaine. On touche alors directement à la vie des citoyens… » 

Et les petites communes ne sont pas épargnées. Au contraire ! La vulnérabilité de ces dernières peut être déterminante. Alexandre Ouzille, premier adjoint au maire de Villers-Saint-Paul (Oise), une commune de 6 500 habitants, raconte qu’après une cyberattaque la collectivité a « perdu l’ensemble des données ressources humaines et financières » 

« Ne pas laisser sur le bord de la route les petites communes » 

Pour Richard Lizurey, vice-président de Chartres métropole chargé de la Stratégie territoriale de sécurité et de prévention de la délinquance, « la cybersécurité est un vrai sujet. Mais au quotidien le maire doit gérer tout le reste… Il a un sac à dos bien chargé. Quand on explique que le problème de la cybersécurité va au-delà de l’installation d’un antivirus, on se heurte aux compétences RH. De plus, certaines petites communes ont encore des zones blanches. Il y a des endroits où la population n’a pas accès à internet. Il y a une diversité qui demande une adaptation en terme de sensibilisation. Enfin, il y a un vrai besoin d’accompagnement. Il me semble intéressant de réfléchir à la mise en place de plateforme de style plug and play afin de mettre en relation les collectivités et les plateformes de sécurité pour leur assurer le service. » 

De ces témoignages ressort un constat : il y a une véritable volonté des élus de mettre au cœur du débat la cybersécurité mais il y a aussi un manque cruel d’accompagnement sur ces sujets liés notamment au manque de ressources humaines dans ce domaine. Les élus présents lors de cette table ronde s’accordent à dire que des moyens sont mis à disposition par l’État mais ne peuvent pas atteindre les petites communes et leurs agents. « Il ne faut pas laisser sur le bord de la route les petites communes, insiste Richard Lizurey. Si on veut demain avoir un système de cybersécurité national efficace, il faut s’occuper des petits car ce sont les plus menacés. »   

La sensibilisation : le nerf de la guerre 

Dans les collectivités territoriales, les données qui peuvent être volées sont sensibles : sécurité sociale, état civil, informations bancaires, médicales, etc. C’est notamment pour cela que la sensibilisation a été au cœur des échanges de cette table ronde. Pour comprendre et savoir comment faire comprendre aux citoyens, aux agents, aux élus.

« Sensibiliser est très important, rappelle Françoise Gatel. L’AMF et L’Agence nationale de la sécurité des systèmes d’information ont réalisé des guides pour les collectivités sur la cybersécurité. Ce sont des outils indispensables. » 

Marie-Laure Pezant, Chargée de mission sécurité et prévention de la délinquance à l’AMF, explique que l’association « souhaite accompagner l'ensemble des communes sur ces sujets, que cela soit les communes urbaines ou rurales, car effectivement les communes rurales sont de plus en plus touchées et il y a une nécessité de les sensibiliser davantage. »  Céline Vincent, de l’Association des maires ruraux de France, rejoint cette idée : « Il est très important de sensibiliser les élus car il y a un manque de connaissances, de compétences et un manque de financement. L’État met en place des moyens mais parfois une vulgarisation du langage et des éléments en terme de cybersécurité est inévitable au niveau des communes rurales. » 

« La sensibilisation auprès des agents est très efficace et ils peuvent devenir des acteurs de la cybersécurité, témoigne Cyril Bras, vice-président de l'Institut national pour la cybersécurité et la résilience des territoires. C’est l’affaire de tous. » 

Enfin, l'AMF a rappelé la nécessité d'organiser régulièrement des exercices de cybersécurité intégrant les maires, en les appuyant notamment sur les exercices plus classiques de gestion de crise (prévention des catastrophes naturelles, accidents industrielles, lutte contre le terrorisme…) et l'impératif de prendre en compte le volet psychologique des cyberattaques qui touchent souvent profondément les élus et agents des collectivités touchées.

Ce que propose l’État avec France Relance 

Gwenaëlle Martinet, cheffe de projet France Relance, présente lors de cette table ronde, entend bien toutes ces difficultés. Certaines solutions sont trouvées par les collectivités territoriales elles-mêmes face à ce phénomène d’ampleur mais l’État contribue à améliorer la prise en charge de la cybercriminalité. « Dans le cadre de France Relance, une enveloppe de 136 millions d’euros sous le pilotage de l’ANSSI a été débloquée pour augmenter la cybersécurité des services publics. Nous avons décidé de mettre en place des mécanismes gagnant-gagnant. C’est-à-dire que l’objectif est d’augmenter la cybersécurité en irrigant l’écosystème industriel de la cybersécurité nationale. » 

« Deux mécanismes ont notamment été mis en place : les parcours de cybersécurité qui permettent à l’ANSSI d’envoyer auprès du bénéficiaire éligible un prestataire qui va l’accompagner pour l’éclairer sur ce qu’il y a à faire. On apporte donc à la fois de l’humain, des compétences, une méthodologie et de l’argent. On doit aider 500 collectivités territoriales dans ce parcours du plan de Relance. Les critères d’éligibilités : avoir une personne interlocutrice qui va faire perdurer les mécanismes. »  Autre mécanisme : le programme d’incubation de CSIRT qui s’adresse aux régions qui souhaitent constituer une équipe de réponse à incident cyber (CSIRT). L'ANSS a reconnu qu'il fallait aller plus loin pour accompagner davantage les petites communes et souhaite travailler en ce sens.

500 collectivités accompagnées est un chiffre qui semble faible face au défi de la cybersécurité. D’autant plus que le besoin d’une personne référente exclut les petites communes qui ont peu de moyens humains. Françoise Gatel insiste alors sur ce point qui résume parfaitement les échanges qui ont pu avoir lieu : « Les collectivités ont aujourd’hui besoin de conseils, de services professionnels et de l’accompagnement de l’État. » 

Enfin, lors du Forum Numérique du 103ème congrès des maires et des présidents d’intercommunalité, prévu le 18 novembre au matin, les congressistes seront amenés à débattre de ce sujet. 

Suivez Maire info sur Twitter : @Maireinfo2