DOSSIER - Cybersécurité des collectivités : la menace plane plus que jamais

Une commune de moins de 25.000 habitants sur dix a été victime d'une cyberattaque en 2024. Ce chiffre, révélé par la troisième édition du baromètre de la maturité cyber des collectivités françaises de Cybermalveillance reste stable par rapport à 2023 et témoigne de la difficulté persistante des petites collectivités à se protéger. Plus inquiétant, 44% des communes interrogées s'estiment faiblement exposées aux risques. Dans le détail, l'hameçonnage arrive en tête des attaques (30%), devant les virus (12%), les sites infectés (12%) et les failles de sécurité (10%), 45% des communes n'étant pas capables d'attribuer une cause à l'incident. 
Les conséquences des cyberattaques sont significatives pour les communes touchées. Dans 37% des cas, elles conduisent à une interruption des activités et des services aux citoyens. La destruction de données (15%) et leur vol (12%) figurent également parmi les impacts majeurs, suivis de près par les pertes financières (10%) et l'atteinte à l'image de la collectivité (10%).

Les collectivités représentent 17% des incidents gérés par l'Agence nationale de la sécurité des systèmes d'information (Anssi). L'agence note une surreprésentation relative des départements (40% ont été attaqués) et des régions (12 incidents). 
Les collectivités sont principalement ciblées pour des motifs lucratifs, bien qu'elles puissent également être victimes d'attaques de déstabilisation ou d'espionnage étatique. Les collectivités subissent aussi des attaques à but de déstabilisation, certaines étant menées par des hacktivistes, d'autres étant guidées par un acteur étatique dans un objectif de sabotage. Les premiers pratiquent surtout la défiguration de site internet, souvent liée à un événement géopolitique comme la guerre en Ukraine. 

Reste aussi à finaliser la transposition de la directive NIS 2 (Network and Information Security). Cette directive va aboutir à une forte augmentation du nombre d'entités soumises à des obligations strictes en matière de cybersécurité avec de potentielles sanctions si elles ne les respectent pas. Le projet de loi transposant la directive européenne NIS 2 a été présenté in extremis en Conseil des ministres le 15 octobre 2024, soit deux jours avant la date à laquelle la France était censée avoir transposé la directive. Fin décembre, le Sénat a entamé ses auditions sur la transposition des directives sur la cybersécurité. Le texte est particulièrement attendu des collectivités, la directive européenne ayant laissé aux États membres le soin de décider du périmètre d'application de la directive aux administrations locales. L'Anssi qui a appelé le Parlement à ne pas "surtransposer" a proposé un seuil de 30.000 habitants, estimant à 1.489 le nombre "d'entités essentielles" ; le reste entrant dans le champ des entités importantes soumises à des obligations plus légères. L'Anssi, qui sera dotée d'un pouvoir de sanction pour faire respecter les nouvelles obligations, promet une mise en œuvre "progressive", échelonnée sur 3 ans.

Au panorama des menaces, l'Enisa, l'agence de cybersécurité de l'Union européenne ajoute celles liées à l'émergence d'outils d'intelligence artificielle générative (IAG). Elle s'inquiète du recours à ChatGPT qui peut en effet être utilisé pour rendre les campagnes d'hameçonnage encore plus personnalisées et crédibles. Elle s'inquiète aussi des possibles tentatives "d'empoisonnement" des bases de données de ces IA pour générer de fausses informations.

Côté prévention et sensibilisation, les centres de réponse aux incidents cyber (C-Sirt) ont aidé les collectivités à colmater des failles de sécurité sur leurs sites web. Des fiches de remédiation aux incidents ont également été diffusées. La Cnil a publié une foire aux questions sur le volet numérique des JO. La plateforme du GIP cybermalveillance, un kit clef en main pour sensibiliser leurs agents et un guide sur leurs obligations cyber réalisé, avec l'appui de la Cnil. Les collectivités sont également destinataires depuis 2022 des "alertes cyber" du GIP sur les failles de sécurité et autres publications de patchs logiciels.

NIS 2 : l'accompagnement promis suspendu aux moyens alloués à l'Anssi (20 décembre 2024)

Avec le 17Cyber, l'Etat promet de parler d'une seule voix aux victimes de cyberattaques (18 décembre 2024)

Congrès des maires – Le risque cyber reste sous-estimé par les petites communes (19 novembre 2024)

NIS 2 : le projet de loi enfin sur les rails (29 octobre 2024) 

En attendant une loi, l'Anssi lance un simulateur sur la directive NIS 2 (12 septembre 2024)

La lutte contre le cybersquattage de noms de domaines s'intensifie (9 septembre 2024)

Projet de loi Cybersécurité, réseaux télécoms… ces dossiers numériques sur lequel le gouvernement est attendu par les élus (31 juillet 2024)

Jeux olympiques : l'Anssi "confiante" face aux menaces de cyberattaques (19 juillet 2024)

Cybersécurité et protection des données : dernières recommandations avant les JO (2 juillet 2024) 

Un "bouclier numérique" pour lutter contre les cyberattaques dans les écoles (29 mars 2024)

Plus de 800 sites administratifs ciblés par des cyberattaques (18 mars 2024) 

Cybersécurité : intercommunalités et grandes villes veulent une mise en œuvre progressive de la directive NIS 2 (11 mars 2024 ) 

L'Anssi publie trois guides pour aider à la remédiation des cyberattaques (18 janvier 2024) 

Cybersécurité, France urbaine veut des clarifications sur le périmètre d'application de NIS 2 (12 décembre 2023) 

L'Anssi décrypte les cyberattaques subies par les collectivités territoriales (8 novembre 2023) 

Cybersécurité : mutualiser les expertises pour aider les collectivités à se préparer au pire (7 juin 2023) 

Le dépôt de plainte sous 72h en cas de cyberattaque désormais obligatoire (5 mai 2023) 

Les petites collectivités en première ligne face aux cyberattaques (24 mars 2023)