Congrès des maires – Le risque cyber reste sous-estimé par les petites communes
Le baromètre 2024 de Cybermalveillance publié à l’occasion du Congrès des maires montre que les petites communes restent peu conscientes de leur vulnérabilité cyber. Si le besoin d'accompagnement est immense, les communes de moins de 1.000 habitants ont du mal à identifier les bons points d'appui.
© Opinion way
Une commune de moins de 25.000 habitants sur dix a été victime d'une cyberattaque en 2024. Ce chiffre, révélé par la troisième édition du baromètre de la maturité cyber des collectivités françaises de Cybermalveillance (1), reste stable par rapport à 2023, témoignant de la difficulté des petites collectivités à se protéger. Plus inquiétant encore, 44% des communes interrogées s'estiment faiblement exposées aux risques (+6 points par rapport à 2023) et 18% ne savent pas l'évaluer, alors même que 98% des communes redoutent une interruption des services ou un vol de données liés à une cyberattaque.
Dans le détail, l'hameçonnage arrive en tête des attaques (30%), devant les virus (12%), les sites infectés (12%) et les failles de sécurité (10%), 45% des communes n’étant pas capables d'attribuer une cause à l'incident. Les conséquences des cyberattaques sont significatives pour les communes touchées. Dans 37% des cas, elles conduisent à une interruption des activités et des services aux citoyens. La destruction de données (15%) et leur vol (12%) figurent également parmi les impacts majeurs, suivis de près par les pertes financières (10%) et l'atteinte à l'image de la collectivité (10%).
Une maturité cyber encore insuffisante
Plusieurs indicateurs témoignent d'une maturité cyber encore fragile. Si trois collectivités sur quatre déclarent avoir été sensibilisées aux risques cyber, 14% seulement s'estiment suffisamment préparées en cas d'attaque et à peine 22% disposent d'une procédure de réaction formalisée. Par ailleurs, les mesures préventives concernent essentiellement les communes de plus de 5.000 habitants, les toutes petites communes restant très en retrait. Le budget consacré à la sécurité informatique est toujours aussi faible : 77% des communes y consacrent moins de 2.000 euros par an, le budget informatique ne dépassant pas 5.000 euros par an pour 73% d’entre elles. Autre témoignage du manque de maturité : 58% des collectivités continuent d'utiliser des équipements personnels pour leurs activités, principalement des téléphones portables (92%) et des clés USB (43%).
Des freins persistants
L'étude identifie quatre obstacles majeurs à l'amélioration de la cybersécurité des petites communes. Le manque de connaissances arrive en tête (47%), devant le manque de budget et de ressources humaines (36% chaque), suivi du manque de temps (32%).
La faible adaptation des solutions du marché aggrave la situation : seules 21% des collectivités considèrent que les offres de cybersécurité répondent à leurs besoins. Les principales critiques portent sur l'inadéquation avec les compétences disponibles (46%) et les coûts de mise en œuvre (45%).
Un besoin d'accompagnement criant
Face à ces défis, l'accompagnement des communes reste perfectible. Si 66% se tournent vers leur prestataire informatique pour obtenir de l'aide, 83% ignorent si celui-ci possède une certification en cybersécurité. Les services territoriaux de l’État (gendarmerie, préfecture) arrivent en seconde position dans les interlocuteurs identifiés, devant les intercommunalités et Cybermalveillance. Ce dernier est cependant surtout connu des communes de plus de 5.000 habitants. On notera aussi que les centres de réponse aux incidents cyber régionaux (CSIRT), censés avoir dans leur périmètre l’accompagnement des petites collectivités, restent quasiment inconnus des communes (2%, -4 points par rapport à 2023). Les besoins prioritaires exprimés par les communes sont cependant clairs : disposer d'outils et solutions de sécurisation (54%), sensibiliser les élus (47%) et les agents (46%), disposer d'une aide financière (45%) et de diagnostics (45%).
Enfin, on notera que la directive NIS 2 n'a été citée que par 3% des communes comme un facteur les conduisant à améliorer leur cybersécurité. Un chiffre qui légitime le seuil de 30.000 habitants proposé par l’Anssi pour soumettre les collectivités à des obligations strictes.
(1) Enquête, menée par OpinionWay pour Cybermalveillance.gouv.fr entre août et octobre 2024 auprès de communes de moins de 25.000 habitants, 1.710 répondants (élus et agents). L'échantillon, redressé pour refléter la réalité territoriale française, compte 72% de communes de moins de 1.000 habitants, dont des communes ultramarines.
