Avec la numérisation des services publics, allant des systèmes de gestion administrative aux services en ligne pour les citoyens, les collectivités sont de plus en plus exposées aux attaques, faisant de la cybersécurité une priorité nationale.
En effet, une cyberattaque réussie peut paralyser les systèmes informatiques de la collectivité, rendant indisponibles des services essentiels tels que la distribution d'eau, la gestion des déchets, ou encore les services de secours et d'urgence.
La résilience de ces institutions est donc primordiale pour assurer le bon fonctionnement de la vie quotidienne des citoyens.
Des collectivités sensibilisées aux risques cyber, mais il reste des efforts à faire
Notre étude révèle que 53% des collectivités se sentent concernées par les menaces cyber, la conscience du risque étant plus marquée dans les grandes collectivités par rapport aux petites. Autre point qui a retenu notre attention : parmi les répondants, 7% ne savant pas dire si leur collectivité a déjà été la cible d’une attaque.
Aussi, la proportion d’élus et de décideurs qui prennent le sujet de la cybersécurité en main doit encore évoluer pour assurer une meilleure préparation et une meilleure résilience face aux incidents - 37% des collectivités ne disposent ni de département ni de service dédié aux questions de sécurité.
Les menaces qui pèsent sur les collectivités
Voici les principaux risques cyber auxquels les collectivités doivent faire face, quelle que soit leur taille :
- Les attaques par ransomware, qui peuvent viser à exfiltrer les données sensibles et menacer de les divulguer, voire les détruire en cas de non-paiement de la rançon.
- Le phishing, souvent utilisé pour déployer un ransomware ou un malware.
- Les attaques par déni de service (DDoS), qui visent à surcharger un réseau de requêtes, rendant les services en ligne ou un SI indisponibles.
- L’exploitation des failles de sécurité, pour infiltrer un réseau ou installer des logiciels malveillants.
- Le cyber-espionnage, dans le but d’obtenir des informations stratégiques ou sensibles.
- Les attaques sur les infrastructures critiques, telles que l’eau, l'électricité, et les transports,qui peuvent être ciblées pour des sabotages ou des perturbations - l’une des principales menaces à craindre dans le cadre de conflits géopolitiques.
- Les menaces internes, via des employés ou d’anciens employés qui peuvent, intentionnellement ou par inadvertance, causer des incidents de cybersécurité en accédant à des informations sensibles ou en compromettant des systèmes.
Parmi ces menaces cyber qui pèsent sur les collectivités, quelle est la perception du risque et quelles sont les plus redoutées ?
La perception de la menace dans les collectivités
49% des collectivités craignent le vol de données personnelles, suivi par l'inaccessibilité des services publics (44%) et la fuite d'informations (38%).
34% des répondants indiquent également que les ransomwares font partie des types d’attaques qu’ils redoutent le plus.
Malgré la prise de conscience des menaces cyber, la maturité des collectivités est disparate.
En effet, sur l’ensemble des répondants, si 29% des collectivités s’estiment plutôt en avance en matière de protection cyber, 31% s’estiment très en retard.
Les collectivités qui s’estiment le plus en avance et qui réalisent les investissements les plus importants sont essentiellement des communes urbaines (44% d’entre elles s’estiment en avance). Les communes rurales, quant à elles, sont seulement 24% à s’estimer en avance.
Les facteurs identifiés de ce retard sont le manque de budget et le manque de formation, plus que les facteurs externes (événements, conflits internationaux...).
A titre d’exemple, 75% des collectivités s’estiment exposées à des risques liés au faible niveau de formation de leurs agents, alors qu’elles ne sont que 11% à se sentir très exposées au risque lié à la guerre en Ukraine.
En outre, la faible priorité donnée à la cybersécurité dans la prise de décision collective est vue comme source d’inquiétude pour 41% des répondants ; et 35% se sentent très vulnérables compte tenu de la vétusté des équipements informatiques.
Enfin, en réponse aux risques d'attaque, seuls 23% estiment avoir un dispositif de gestion de crise adapté, 24% ont recruté des profils experts en cybersécurité à la suite d’un incident, et 24% se sont équipés (antivirus, EDR) ou ont changé d’outils après une cyberattaque.
Mais alors, quels sont les freins à l’adoption de mesures de protection pour les collectivités ?
Les freins principaux à l’adoption de solutions de cybersécurité pour les collectivités
Parmi les freins et difficultés rencontrées pour mettre en place une bonne stratégie de cybersécurité, les collectivités pointent :
- la complexité d’assurer la sécurité avec l’arrivée de nouvelles technologies (32%) ;
- le manque de formation en cybersécurité (27%) ;
- le manque de temps (29%) ;
- le manque de sensibilisation en interne (30%),
- ce sujet de la sensibilisation en interne revient aussi dans les problématiques de gouvernance.
En effet, les répondants indiquent qu’ils peinent parfois à convaincre leurs élus d’adhérer à la politique de cybersécurité. 9% des répondants indiquent même que les élus et agents n’y adhèrent pas du tout.
Toutefois, 42% confirment que les élus et agents adhèrent facilement aux politiques de sécurité, et une autre part de 42% admet que l'adhésion n'est possible qu'à la condition d'une grande force de persuasion ;
- ce sujet de la sensibilisation en interne revient aussi dans les problématiques de gouvernance.
- le manque de budget (30%).
Ce dernier point est à mettre en relation avec les attentes fortes de collectivités en matière d’accompagnement et de soutien de la part de l’État.
Cybersécurité et collectivités : des attentes en termes d’accompagnement par l’État
Lorsque l’on questionne les collectivités sur leurs attentes en matière de cybersécurité, plus du tiers répond qu’elles souhaitent avant tout garantir une meilleure protection des données, notamment en se reposant sur un outil fiable et efficace, qui s’adapte à l’évolution des technologies pour assurer une protection à travers le temps.
Près du tiers des répondants exprime par ailleurs le souhait de recevoir davantage de soutien de la part de l’État, tant en termes financiers que pour de l’accompagnement et de la sensibilisation.
Près de 20% des répondants estiment en effet que la sensibilisation et la formation représentent l’un des principaux freins à l’amélioration des capacités de cybersécurité des collectivités.
Dans ce sens, pour soutenir les collectivités, le gouvernement a mis en place le plan France 2030.
Le plan France 2030, pour renforcer la protection des infrastructures nationales
Ce plan est une initiative du gouvernement dans la lignée du plan France Relance, qui vise à renforcer la protection des infrastructures nationales, soutenir l'innovation technologique, combler le déficit de compétences, et positionner la France parmi les champions de la cybersécurité dans le monde.
Ce plan prévoit des investissements massifs pour développer les technologies de cybersécurité, soutenir la recherche et l’innovation, et renforcer les capacités de détection et de réponse aux menaces.
Il prévoit en outre : des fonds dédiés à la formation, des subventions pour aider les infrastructures publiques (ainsi que les petites et moyennes entreprises) à développer leur maturité et à s’équiper en matière de cybersécurité, le renforcement de la coopération internationale, et la modernisation des infrastructures critiques.
Les collectivités territoriales peuvent ainsi bénéficier des mesures suivantes :
- Financements et subventions pour investir dans des technologies de cybersécurité avancées et moderniser les infrastructures, en vue de renforcer la sécurité informatique ;
- Accès à des programmes de formation et des certifications en cybersécurité ;
- Partenariats public-privé entre les collectivités, les entreprises de cybersécurité, et les instituts de recherche, pour faciliter l'accès à des expertises et des technologies innovantes ;
- Accompagnement et conseil pour aider les collectivités à auditer leur cybersécurité et élaborer des plans d'action adaptés ;
- Sensibilisation et campagnes de communication pour informer les responsables et les agents sur l'importance de la cybersécurité et sur les mesures à prendre pour se protéger ;
- Renforcement de la coopération interinstitutionnelle pour favoriser le partage d'expériences et mutualiser les ressources.
Les défis cyber pour les collectivités : comment et avec qui les relever
Les risques cyber augmentent, mais dans le même temps, les budgets publics sont en décroissance.
Dans ce contexte, la cybersécurité reste un sujet difficile à prioriser pour les collectivités, ce qui freine leurs capacités de résilience face aux menaces.
Par ailleurs, le secteur public pâtit d’une attractivité faible pour les experts qui préfèrent souvent occuper des postes dans le secteur privé, qui offre de meilleures rémunérations.
Si les risques qui pèsent sur les collectivités sont davantage liés à des problématiques internes (gouvernance, infrastructure, budget...) qu’à des facteurs externes (contexte géopolitique, conflits, événements...), elles doivent néanmoins déployer des stratégies de cybersécurité robustes.
Cela inclut la formation du personnel, la mise en place de systèmes de surveillance et de détection des menaces, ainsi que la collaboration avec des experts en cybersécurité et d'autres collectivités pour partager les bonnes pratiques et les informations sur les menaces émergentes. Elles doivent également être en mesure d’implémenter des politiques de sécurité strictes, et de maintenir leur infrastructure IT.
Dans cette perspective, les institutions publiques telles que l’ANSSI, et des initiatives telles que le plan France 2030 peuvent contribuer à intégrer la connaissance et les outils qui favoriseront une plus grande maturité cyber.
Et c’est aussi le rôle des acteurs de l’écosystème cyber en général - dont les éditeurs de solutions - d’accompagner les décideurs, les experts et les référents cybersécurité au sein des collectivités.
Découvrez l'intégralité de l'étude :