Cybersécurité des collectivités : des pare-feu à géométrie variable

«Au niveau des incidents, les collectivités ont commencé à être touchées par les attaques par rançongiciels avec 30 % des conseils territoriaux et des villes impactés. Ce risque reste toutefois sous-évalué puisque 62 % des répondants l’estiment faible, alors que l’impact financier maximal observé dans l’étude s’élève à 400 000 euros. »

La dernière enquête en date du Club de la sécurité de l’information français (Clusif) porte sur l’année 2020, mais elle reste aujourd’hui la référence sur laquelle s’appuient les experts et décideurs publics pour évaluer l’impact des cyberattaques touchant les collectivités territoriales. Le Clusif est une association indépendante regroupant des professionnels de la sécurité informatique : utilisateurs et fournisseurs de services issus de tous les secteurs de l’économie, y compris les collectivités territoriales.

Près d’un tiers d’entre elles touchées en 2020. Le chiffre semble énorme, mais il est à prendre au sérieux : « Cette estimation est basée sur notre enquête et sur notre activité de veille sur les attaques rendues publiques, les plaintes et signalements déposés auprès de la Gendarmerie ou de la Police nationales ou encore auprès de l’Agence nationale de sécurité des systèmes informatiques », précise Sylvain Correia Prazeres, délégué à la protection des données du conseil départemental de l’Eure et membre du Clusif.

« Nous avons assisté ces dernières années à une forte accélération des attaques, d’autant qu’il existe de plus en plus d’outils numériques qui fournissent de la donnée »
Sylvain Correia Prazeres, DPO de l’Eure

Les pouvoirs publics ont, avec l’application en 2018 du Règlement général de la protection des données (RGPD), poussé les collectivités à prendre des mesures pare-feu, mais la mise en œuvre est plutôt lente. Selon l’enquête, 34 % des collectivités estiment être en conformité totale avec les recommandations du RGPD dont la mise en œuvre est vérifiée par la CNIL, 59 % être en conformité seulement partielle.

Pourtant il y a urgence, car, comme le souligne le DPO de l’Eure, « nous avons assisté ces dernières années à une forte accélération des attaques, d’autant qu’il existe de plus en plus d’outils numériques qui fournissent de la donnée ».
Pour ce qui constitue une des préconisations majeures, la mise en œuvre d’une direction à la protection des données (DPO dans le jargon suivant l’acronyme anglo-saxon), 75 % des collectivités indiquent s’être acquittées de cette obligation, 10 % avoir entrepris la démarche.