DOSSIER - Cybersécurité des collectivités : la menace plane plus que jamais
Alors que le risque cyber n'a jamais autant été d'actualité que pendant les Jeux olympique (JO) de Paris à l'été 2024, où en sont les collectivités en termes de cybersécurité ? Malgré certaines prises de conscience, les élus communaux et surtout des petites collectivités, tardent encore à se doter d'une véritable stratégie cyber. Pourtant, en France comme en Europe, les administrations figurent en tête des victimes de cyberattaques. La cybercriminalité en France a fait un bond de 40% en 5 ans, selon un premier rapport du ministère de l'Intérieur.
Les collectivités représentent 17% des incidents gérés par l'Agence nationale de la sécurité des systèmes d'information (Anssi). L'agence note une surreprésentation relative des départements (40% ont été attaqués) et des régions (12 incidents). Les collectivités ont subi 187 incidents entre janvier 2022 et juin 2023, soit 10 par mois en moyenne, selon le dernier panorama de la cybermenace 2023 de l'Anssi. Les collectivités sont principalement ciblées pour des motifs lucratifs, bien qu'elles puissent également être victimes d'attaques de déstabilisation ou d'espionnage étatique. Les attaques par rançongiciels restent l'une des menaces les plus fréquentes, avec une sophistication croissante des techniques utilisées par les cybercriminels. Ces dernières sont, souligne l'Anssi, des "cibles de choix" pour les pirates qui profitent de services "mal sécurisés", "disparates" et utilisent les données personnelles récupérées à l'occasion de l'intrusion pour accentuer leur chantage. L'agence s'inquiétait aussi - à raison - des risques de sabotage d'infrastructures dans le cadre des Jeux olympiques. L'actualité de la mi-juillet lui a donné raison, avec les après les sabotages sur les postes d'aiguillage du réseau TGV, paralysant le trafic SNCF, la veille de la cérémonie d'ouverture des JO.
Les collectivités subissent aussi des attaques à but de déstabilisation, certaines étant menées par des hacktivistes, d'autres étant guidées par un acteur étatique dans un objectif de sabotage. Les premiers pratiquent surtout la défiguration de site internet, souvent liée à un événement géopolitique comme la guerre en Ukraine.
Au panorama des menaces, l'Enisa, l'agence de cybersécurité de l'Union européenne ajoute celles liées à l'émergence d'outils d'intelligence artificielle générative (IAG). Elle s'inquiète du recours à ChatGPT qui peut en effet être utilisé pour rendre les campagnes d'hameçonnage encore plus personnalisées et crédibles. Elle s'inquiète aussi des possibles tentatives "d'empoisonnement" des bases de données de ces IA pour générer de fausses informations.
Côté prévention et sensibilisation, les centres de réponse aux incidents cyber (C-Sirt) ont aidé les collectivités à colmater des failles de sécurité sur leurs sites web. Des fiches de remédiation aux incidents ont également été diffusées. La Cnil a publié une foire aux questions sur le volet numérique des JO. La plateforme du GIP cybermalveillance, un kit clef en main pour sensibiliser leurs agents et un guide sur leurs obligations cyber réalisé, avec l'appui de la Cnil. Les collectivités sont également destinataires depuis 2022 des "alertes cyber" du GIP sur les failles de sécurité et autres publications de patchs logiciels.
Reste aussi à finaliser la transposition de la directive NIS 2 (Network and Information Security). Cette directive va aboutir à une forte augmentation du nombre d'entités soumises à des obligations strictes en matière de cybersécurité avec de potentielles sanctions si elles ne les respectent pas. La dissolution intervenue début juillet 2024 remet en cause un calendrier déjà très serré puisque la France a, en théorie, jusqu'au 17 octobre 2024 pour voter la transposition. Or celle-ci est particulièrement attendue des collectivités, la directive européenne ayant laissé aux États membres le soin de décider du périmètre d'application de la directive aux administrations locales. L'Anssi a proposé un seuil de 30.000 habitants, estimant à 1.489 le nombre "d'entités essentielles" ; le reste entrant dans le champ des entités importantes soumises à des obligations plus légères. France urbaine, Intercommunalités de France et les Interconnectés plaident quant à elle pour une adaptation des nouvelles obligations cyber aux spécificités des collectivités. Elles souhaitent notamment que le critère de population ne soit pas le seul pris en compte et un accompagnement pour les structures concernées.
Congrès des maires – Le risque cyber reste sous-estimé par les petites communes (19 novembre 2024)
En attendant une loi, l'Anssi lance un simulateur sur la directive NIS 2 (12 septembre 2024)
La lutte contre le cybersquattage de noms de domaines s'intensifie (9 septembre 2024)
Projet de loi Cybersécurité, réseaux télécoms… ces dossiers numériques sur lequel le gouvernement est attendu par les élus (31 juillet 2024)
Jeux olympiques : l'Anssi "confiante" face aux menaces de cyberattaques (19 juillet 2024)
Cybersécurité et protection des données : dernières recommandations avant les JO (2 juillet 2024)
Un "bouclier numérique" pour lutter contre les cyberattaques dans les écoles (29 mars 2024)
Plus de 800 sites administratifs ciblés par des cyberattaques (18 mars 2024)
Cybersécurité : intercommunalités et grandes villes veulent une mise en œuvre progressive de la directive NIS 2 (11 mars 2024 )
L'Anssi publie trois guides pour aider à la remédiation des cyberattaques (18 janvier 2024)
Cybersécurité, France urbaine veut des clarifications sur le périmètre d'application de NIS 2 (12 décembre 2023)
L'Anssi décrypte les cyberattaques subies par les collectivités territoriales (8 novembre 2023)
Cybersécurité : mutualiser les expertises pour aider les collectivités à se préparer au pire (7 juin 2023)
Le dépôt de plainte sous 72h en cas de cyberattaque désormais obligatoire (5 mai 2023)
Les petites collectivités en première ligne face aux cyberattaques (24 mars 2023)