La responsabilité de l’élu peut être engagée pénalement

Aujourd’hui, les collectivités ne sont pas épargnées par les menaces cyber. En cause, l’informatisation grandissante de leurs outils face à une criminalité qui ne cesse d’évoluer. « Sans compter que la criminalité 2.0 est beaucoup plus facile que de perpétrer un casse dans une banque », constate Damien Alexandre, DSI de Soluris (lire p. 27). Avec la numérisation croissante des données et la dématérialisation des procédures (marchés publics, demandes de passeports…), les collectivités sont de plus en plus la proie de personnes malveillantes. Les hackers ont en effet bien compris que ces données, souvent très sensibles comme l’état civil, représentent une valeur importante qu’ils peuvent ensuite monnayer. Et les systèmes d’information s’interconnectent. Ainsi, certaines communes (Lyon, Vincennes…) se relient à la plateforme d’échange de données gouvernementale FranceConnect, qui vise à rendre 100% des services publics accessibles en ligne début 2022 (1), y compris sur un téléphone mobile, avec un identifiant unique. Autre facteur de risque : l’ouverture des données publiques ou Open Data. Prévue par la loi pour une République numérique de 2016, dite loi Lemaire, elle est obligatoire pour les collectivités de plus de 3 500 habitants et cinquante agents. Les pirates peuvent aussi afficher des messages de propagande en détournant les internautes vers une fausse page d’accueil de la mairie. C’est le défaçage ou défacement. « La très grande majorité des élus locaux n’a toujours pas pris la mesure des menaces numériques, alors même qu’à la suite des attentats de janvier 2015, plusieurs centaines de sites web de collectivités ont fait l’objet d’un défaçage », déplore Rémy Février, docteur en sciences de gestion et maître de conférences au CNAM (conservatoire national des arts et métiers), co-auteur du guide Les collectivités territoriales face à la cybercriminalité.

Plus de 6 600 sites communaux vulnérables

En février 2015, une enquête LaGazette.fr – La Gazette des communes montrait que plus de 6 600 sites de mairies, sur 15 000 analysés, n’étaient pas à jour et se trouvaient vulnérables aux failles de sécurité. Une aubaine pour les cyberpirates qui cherchent à maximiser l’impact sociétal de leurs attaques.

Les collectivités peu nombreuses à être sensibilisées aux risques cyber.

Les smart cities, qui relient les systèmes d’information pour mieux gérer la ville et rendre des services plus adaptés aux citoyens, créent aussi des risques. Dans L’état de la menace liée au numérique en 2018 (2), le ministère de l’Intérieur cite, parmi « les défis auxquels il faut se préparer », la protection des espaces intelligents. Difficile d’imaginer l’impact d’une attaque cybernétique dirigée contre eux, étant donné « le volume et la sensibilité de leurs données, la dimension territoriale » et « alors même que les collectivités territoriales sont encore peu nombreuses à être sensibilisées aux risques cyber ». Le rapport pointe aussi l’importance de maîtriser la sécurisation de l’identité numérique des citoyens dans leur relation avec l’administration, pour développer les usages numériques, la protection des données et la confiance. Rémy Février enjoint précisément les collectivités à mieux protéger leur SI par des précautions simples et de bon sens, et les met en garde : « La responsabilité du président de l’exécutif local peut potentiellement être engagée sur les plans civil et pénal (vols de données à caractère personnel, utilisation illégale d’un poste de travail par un agent…), en cas d’insuffisance manifeste dans la protection du système d’information de sa collectivité ».

(1) Programme Action publique 2022
(2) Délégation ministérielle aux industries de sécurité et à la lutte contre les cybermenaces, mai 2018