La journée d’hier représente parfaitement le décalage entre la réalité des collectivités et la crise politique qui se joue actuellement. Alors qu’hier le Premier ministre – le troisième depuis la dissolution en juin 2024 – prononçait son discours de politique générale à l’Assemblée nationale, élus et collectivités ont parlé avenir à l’occasion d’une Journée expert cyber organisée par Les Interconnectés. 

En attente principalement d’un budget pour 2026 – finalement présenté hier en Conseil des ministres –, les collectivités sont également dans l’expectative concernant de nouvelles règles de cybersécurité qui devraient s’appliquer sous peu pour de nombreuses collectivités. La journée d’hier a été l’occasion de faire un point sur l’avancement de la transposition de la fameuse directive NIS 2 mais aussi de prendre la température du côté des acteurs concernés. Une chose est certaine : l’effort qui va devoir être mené, notamment pour les plus petites collectivités, sera de taille. 

Une menace cyber qui augmente, des réactions qui tardent 

« La directive NIS 2 est née du constat que la menace cyber s’est répandue partout, souligne le général François Degez, chef de la division coordination territoriale de l'Anssi. Cette menace stratégique est devenue systémique : plus besoin d’être une cible pour être une victime, il suffit d’avoir une adresse IP. » 

Pourtant, la maturité cyber des collectivités aujourd’hui est loin d’être opérationnelle. Le Baromètre de la maturité numérique des territoires (2025), mené auprès des adhérents des Interconnectés montre que d’une part, les collectivités plus petites sont souvent plus en retard et que, d’autre part, même si un progrès est visible, « il y a un attentisme dans la mise en œuvre opérationnelle »  de mesures de cyber protection, comme le résume Clément Baylac, conseiller économie attractivité pour Intercommunalités de France.

Pour Olivier Sevegnes, premier adjoint au maire de Cordes-Tolosannes (Tarn-et-Garonne), cette inertie s’explique en partie car les élus prennent conscience de cette menace invisible et intangible « au moment où ça nous tombe dessus ». Pour la communauté de communes Maremne Adour Côte Sud, le déclic a été l’attaque de l’hôpital de Dax en février 2021 – l’une des cyberattaques les plus graves de ces dernières années. Après l’attaque de « son voisin », la communauté de communes a décidé de prendre progressivement les choses en main : « Nous sommes passé d’un technicien informaticien à une direction du système d'information et du développement numérique (DSIN) composée de 15 personnes », raconte Olivier Horgues, responsable cellule infrastructures numériques.

Les conséquences pour une collectivité peuvent être sérieuses à l’échelle du territoire avec notamment la perte de données ou le blocage de services cruciaux (actes de décès, services de paie, etc.) mais elles peuvent aussi bloquer tout le pays, d’où l’intégration de certaines collectivités dans la directive NIS 2. Les cyberhackers, selon l’Anssi, peuvent s’attaquer à la distribution de l’eau potable par exemple puisque les usines de traitement de l'eau la plupart du temps reliées au système informatique de la ville. « Ce type d’attaque sur toute la France peut déstabiliser la vie sociale globale », alerte le général.

Même si le mandat qui vient de s’écouler a confirmé que le numérique est un enjeu politique et non pas uniquement technique, beaucoup constatent qu’il est relayé au second plan, ce qui rend d’autant plus difficile son appropriation par les élus. Les directeurs généraux des services (DGS) comme les élus locaux présents sur place sont en demande de formations. Attention cependant aux effets d’aubaine. Céline Colucci, déléguée générale des Interconnectés alerte sur « la vente de formations [privées] alors que la loi n’est pas promulguée ». 

Un texte toujours au Parlement 

Rappelons les fondamentaux : la directive NIS2, qui vise à collectivement atteindre une immunité cyber nationale, distingue deux types d’acteurs qui vont être soumis à des obligations différentes : les entités essentielles et celles dites importantes (les essentielles auront davantage d'objectifs à remplir). Parmi les essentielles sont concernées pour le bloc local : les communes de plus de 30 000 habitants, les métropoles, les communautés urbaines et d’agglomération. Toutes les communautés de communes seront des entités importantes. Pour sa part, l’AMF a défendu un périmètre plus restreint pour les communautés de communes et les communautés d’agglomération. Précisons que, dans la mesure où le projet de loi n’a toujours pas été adopté, le périmètre d’application peut encore évoluer.

Concernant le calendrier, le projet de loi de transposition de la directive européenne « NIS 2 »  a été adopté en première lecture au Sénat en mars dernier. L’avis de la commission spéciale à l’Assemblée nationale a été rendu au début du mois de septembre. « Alors que la directive aurait dû être transposée avant le 17 octobre 2024, nous ne sommes pas à l’abri de prendre encore un peu plus de temps que prévu », a déclaré Éric Bothorel, rapporteur général du texte en Commission spéciale à l’Assemblée. La date de son adoption est donc toujours inconnue et le texte doit être examiné en première lecture à l’Assemblée nationale avant de repasser par le Sénat… Son adoption en 2025 apparaît à ce jour peu plausible.

La commission a cependant fait des ajouts dans le projet de loi qui concernent spécifiquement les collectivités, comme l’a indiqué hier le député de Haute-Garonne Jacques Oberti et membre de la Commission spéciale chargée d'examiner le projet de loi. La commission propose l’inscription dans le texte de la création d’un fonds de soutien spécifiquement destiné à accompagner les collectivités territoriales et les établissements publics de coopération intercommunale à fiscalité propre qualifiés d’entités importantes ou essentielles n’ayant pas bénéficié du « parcours de cybersécurité »  du plan France relance. Clément Baylac précise que si le fonds n’est pas encore crédité dans le texte, « il faudra le faire après la phase législative ». Selon Jacques Oberti, son évaluation financière serait « de l’ordre de près de 700 millions d’euros pour l’ensemble des investissements ».

Car si les collectivités partagent l’ambition d’un renforcement de la cybersécurité, des inquiétudes subsistent sur leurs capacités à respecter les objectifs portés par NIS 2. « Cela ne pourra pas se faire sans accompagnement dans ce contexte financier et fiscal compliqué où on demande des économies aux collectivités », rappelle Clément Baylac. 

D’ailleurs, Jacques Oberti explique que « la commission ne veut pas de sanction pour les collectivités »  mais est plutôt favorable à la mise en place de « mesures coercitives de l’ordre de la menace réputationnelle avec un rapport annuel sur les attaques subies par les collectivités ».

Enfin, des doutes ont pu émerger hier sur l’organisation prévue par le texte. Les 15 000 entités concernées par NIS 2 (essentielles et importantes) devront s’enregistrer auprès de l’Anssi et indiquer elles-mêmes leur catégorie d’entité, et ce sous six mois. Certains acteurs, dont l’Anssi, redoutent de devoir aller chercher les derniers les moins informés. De plus, les entités essentielles et les entités importantes auront l’obligation de notifier « sans retard injustifié à l’Anssi tout incident ayant un impact important sur la fourniture de leurs services ». Comme l’explique François Dégez, ce devoir de signalement est nouveau, et va permettre d’analyser la menace pour pouvoir réagir. Cependant, beaucoup d’agents ou d’élus peuvent avoir honte ou ne pas percevoir pas la nécessité de signaler un incident aux autorités compétentes comme l’Anssi ou la police nationale. Cet aspect de la directive NIS 2 est un changement de paradigme qui ne pourra s’opérer qu’avec un « gros travail d’acculturation qui parfois ne passe pas sans mal », raconte Olivier Sevegnes.

La nomination d'Anne Le Hénanff au poste de ministre délégué à l’Intelligence artificielle et au Numérique apparaît cependant comme une bonne nouvelle pour les acteurs de la filière du numérique. Grande spécialiste des sujets cyber, elle a aussi été rapporteure du groupe de travail sur la transposition de la directive NIS 2. 

La coopération : condition sine qua non au respect de NIS 2 

La journée d’hier a été l’occasion d’échanger de bonnes pratiques. Un atelier consacré aux entités importantes a permis de rappeler que ces dernières devront répondre à 15 objectifs de gouvernance, protection, défense et résilience. Mais comment les atteindre ? 

Il a été largement rappelé que l’échelon intercommunal reste le plus compétent en matière de montée en compétences pour le numérique. Éric Ponson, responsable du service informatique pour la Communauté de communes Vallée des Baux-Alpilles fait le lien entre NIS 2 et le RGPD. « L’intercommunalité pour sécuriser les données des dix communes leur propose une compétence cyber (conseils et ingénierie) et à termes l’idée serait d’avoir un service informatique cyber commun à l’ensemble des dix communes qui ne peuvent pas seules porter des projets. » 

Autre sujet : pour pouvoir appliquer ce nouveau « code de la route informatique », comme certains l’appellent, il faut « mettre en place des mécanismes de coopération dans les territoires », selon Martin Véron, délégué Anssi en région Nouvelle-Aquitaine. En matière de cybersécurité les acteurs sont multiples entre les collectivités territoriales, l’Anssi, les Campus Cyber, les CSIRT territoriaux, les forces de police et de gendarmerie… « Il faut apprendre à se connaitre et faire une cartographie des acteurs de la cybersécurité », suggère Jean-Noël Olivier, directeur général du numérique et des systèmes d'information de Bordeaux métropole. Certaines collectivités – comme la région Auvergne-Rhône-Alpes – se sont déjà prêté à l’exercice. 

Faire connaître les outils est aussi un axe prioritaire. L’Anssi propose par exemple aux collectivités d’effectuer des exercices de simulation pour gérer une crise cyber. Du côté des forces de l’ordre, on rappelle l’existence du site officiel Ma sécurité, qui peut accompagner les particuliers mais aussi les collectivités dans le dépôt d’une plainte pour cyberattaque. Le 17Cyber propose aussi une assistance technique et un accompagnement par un policier ou un gendarme en cas de cyberattaque. Après le prochain congrès des maires et des présidents d’intercommunalité, l’Anssi devrait également dévoiler un nouvel outil de mise en situation.

Suivez Maire info sur Twitter : @Maireinfo2