Archives

Ces petites communes qui se croient à l’abri des cyberattaques

Selon une étude du GIP Cybermalveillance publié le 17 mai 2022, 65% des communes de moins de 3.500 habitants se croient à l’abri des cyberattaques. Un chiffre qui en dit long sur le manque de préparation des petites collectivités pour faire face à un rançongiciel.

Après une période d’omerta sur la réalité des cyberattaques subie par les communes, les langues se sont déliées pour raconter les conséquences dramatiques des rançongiciels qui provoquent pertes de données et paralysie des services. Ces témoignages, dont la presse se fait régulièrement l’écho, ne semblent pas alerter les petites communes. Pour les deux tiers des communes de moins de 3.500 habitants interrogés par le GIP Cybermalveillance dans une enquête parue le 17 mai 2022, le risque numérique est "faible". Ce pourcentage est identique à celui des élus et DGS déclarant ne pas avoir été formé aux risques numériques. 

Mélange des usages personnels et professionnels

Pourtant les risques sont tangibles eu égard aux pratiques informatiques peu orthodoxes des petites communes. Ainsi près de la moitié des élus interrogés utilisent leurs outils personnels (téléphone, ordinateur) pour la mairie comme pour un usage extramunicipal. 39% avouent mélanger leurs activités numériques personnelles et professionnelles (messagerie, bureautique, internet…). De même, le partage de mots de passe entre agents et élus reste une pratique (à risque) courante.

Externalisation massive de l’informatique

Pour gérer leur parc informatique, composé à 77% de moins de cinq postes de travail, l’externalisation reste largement majoritaire. Un quart des communes gèrent elles-mêmes leur parc informatique (installation, mises à jour…), 64% le confiant à un prestataire externe. Seulement 10% font appel à une structure de mutualisation, 2% l’ont confié à l’intercommunalité et 1% à… un particulier. À noter que l’externalisation fait souvent l’objet d’un renouvellement automatique, le niveau d’expertise en sécurité du prestataire informatique n’étant pas évalué. En cas de cyberattaque une grande majorité affirment vouloir faire appel à leur prestataire de proximité.

Réglementation trop complexe

Pour justifier cette situation, les collectivités avancent sans surprise un manque de moyens, un manque de temps et l’existence "d’autres priorités".  Les élus relèvent aussi une réglementation "complexe" - un sentiment que l’on peu relier au RGPD qui reste largement ignoré par ces collectivités – un manque d’informations adaptées aux collectivités et aux élus. Un déficit d’information sur lesquelles le GIP, allié à l’Agence nationale de sécurité des systèmes d'information (Anssi) et à l’AMF, ont pourtant tenté de combler ces derniers mois.

*Étude réalisée durant l’automne 2021compilant 20 entretiens et un sondage auprès de 524 collectivités. 93% des personnes interrogées étaient des élus, l’échantillon comprenant 40% de communes de 500 à 2000 habitants et 29% de communes de 200 à 500 habitants.

  • Un manque de moyens et de notoriété

Dans un rapport d’analyse que nos confrères de Nextinpact ont pu consulter, la Cour des comptes pointe le manque de moyen du GIP Cybermalveillance, dédié à l’information et à l’accompagnement des structures publiques qui ne font pas partie des opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE) suivis par l’Anssi. Tout en soulignant son utilité face à l’expansion des cybermenaces, les Sages soulignent son manque de moyens : "Reposant largement sur un financement public, les ressources financières du groupement doivent poursuivre leur diversification et, surtout, être mises en adéquation avec les missions et les objectifs qui lui ont été confiés par ses membres et par ses tutelles." Des moyens que la Cour incite à inscrire dans la loi et qui permettraient au GIP de communiquer davantage, de développer l’observation des menaces et de faire un peu plus que de la figuration sur le nouveau campus cyber.