Un guide de sensibilisation à la cybersécurité à destination des petites collectivités
Partant du constat que les cyberattaques ont souvent pour origine une défaillance humaine, Cybermalveillance et l’AMF publient à l’occasion du congrès des maires un guide de sensibilisation à destination des communes et intercommunalités. Un guide dont l’effet risque cependant d’être limité si un accompagnement cyber local n’est pas mis en œuvre.
Même si elles font rarement la Une de la presse, la déferlante des cyberattaques concerne aussi les petites communes. Le GIP Acyma (cybermalveillance), chargé d’accompagner les petites collectivités, le constate dans l’augmentation des demandes d’assistance qui ont bondi de 70% entre 2020 et 2021. Ces cyberattaques ne sont cependant pas une fatalité pour Jérôme Notin, directeur général du GIP Acyma, qui souligne que "la plupart des attaques ciblent l’humain. Et nombre d’entre elles auraient pu être évitées avec une sensibilisation efficace aux risques numériques et un apprentissage des bonnes pratiques au quotidien".
Prendre conscience des risques
Acyma a donc conçu en lien avec l’AMF et l’écosystème cyber une "méthodologie de sensibilisation clef en main" à destination des agents des communes et intercommunalités. Une sensibilisation d’autant plus nécessaire que certaines communes ne se sentent pas concernées comme l’avait révélé une enquête du GIP (notre article du 18 mai 2022). La priorité de la sensibilisation doit donc être d’améliorer la prise de conscience des risque associés aux rançongiciels, piratages de compte et usurpation d’identité qui forment le trio de tête des attaques dont sont victimes les collectivités. Des cyberattaques dont les dommages peuvent être considérables souligne le guide : perturbation ou interruption des services, vol de données et publication en ligne de données personnelles, atteinte à l’image, perte de confiance et risques juridiques… Il s’agit ensuite d’aider les agents à acquérir les bons réflexes dans leurs pratiques numériques ou en cas d’incident cyber. Le guide insiste sur la nécessité de personnaliser les messages en fonction des cibles (élus, agents, usagers…) et l’intérêt de désigner un "référent cyber" pour coordonner les actions de sensibilisation ou répondre aux interrogations des agents.
Répéter les messages
Une seule campagne de sensibilisation ne saurait cependant suffire, la répétition des messages étant nécessaire pour développer une véritable "culture cyber". Le guide incite à inscrire les actions de sensibilisation "dans la durée" en variant les thématiques, en recourant à des illustrations, des témoignages, des vidéos telles que celles créées par le GIP ou l’Anssi. Et pour vérifier que les messages ont bien été assimilés, il suggère de recourir à des petits questionnaires voire à des campagnes de simulation d’hameçonnage. Ces dernières consistent à envoyer un mail aux couleurs de la collectivité ou d’un organisme officiel, incitant les agents à cliquer sur un lien simulé comme vérolé. Si la personne clique, elle est renvoyée vers des informations de sensibilisation sur l’hameçonnage, attaque précédant souvent celle par rançongiciel. En menant des campagnes de simulation de phishing successives, la collectivité peut ainsi mesurer concrètement l’amélioration de la prise de conscience du risque par les agents.
Des communes bien seules
Présenté aux Congrès des maires, ce guide vient compléter celui sur les risques juridiques liés à la cybersécurité (notre article du 6 juillet 2022) et les vidéos réalisées par Acyma de témoignages de maires victimes de cyberattaques. Si ce nouvel opus vise avant tout à faire progresser la culture cyber des agents, il est peu disert sur les moyens financiers et humains à disposition des communes pour se faire accompagner. A l’échelle nationale et en attendant des centres régionaux de réponse aux incidents cyber pleinement opérationnels, l’appui se limite à un délégué régional de l’Anssi, structure qui se concentre sur les grandes collectivités et les incidents majeurs, et à une possible intervention des gendarmes du ComCyberGend pour des actions de sensibilisation. Au plan local, certaines structures de mutualisation comme l’Adico, la fibre 64 ou BFC numérique ont désormais une offre cyber à leur catalogue. Leur implication sur la cybersécurité doit cependant beaucoup au soutien financier de l’Anssi via le plan de relance. Et leur offre va au-delà de la sensibilisation car elles proposent aux communes un parcours incluant un audit de sécurité, la définition d’un plan d’action voire une aide à l’équipement en produits cyber. L'Etat vient certes d’annoncer des financements supplémentaires, le "bouclier cyber" comportant un volet pour des "parcours cyber" supplémentaires côté grandes collectivités et un pack pour les petites communes (notre article du 16 novembre 2022). Mais il fait peu de doute que les 30 millions annoncés seront très insuffisants puisque l’enveloppe devra être partagée avec les petites entreprises.