Collectivités : trouver la bonne échelle de gouvernance

Angers, Marseille, Toulouse, La Rochelle, Caen, Sarrebourg, Évreux, Bayonne, Argenton-sur-Creuse, Morières-lès-Avignon… Le point commun entre ces villes ? Toutes ont été touchées par une attaque cyber et toutes ont décidé de le révéler publiquement. Alors que les actes malveillants et criminels visant les systèmes informatiques des collectivités se multiplient, les élus sont également de plus en plus nombreux à accepter de communiquer sur des agressions qui, il y a peu, relevaient le plus souvent de l’inavouable. Longtemps, les élus se sont pensés à l’écart du risque. Aujourd’hui encore, beaucoup de représentants des petites communes persistent dans une sorte de déni. Pourtant, en matière de risque numérique, il n’y a pas de grandes ou de petites communes. Non seulement la menace n’est pas nulle, mais les préjudices des actes de malveillance cyber sont souvent colossaux, pour des collectivités déjà financièrement éreintées, et d’autant plus pour les petites et moyennes communes.

Impossibilité d’organiser les conseils municipaux

La ville de Houilles (78) a subi une cyberattaque le 30 janvier 2022 : plus d’état civil, plus de scolaire ni de périscolaire, impossibilité d’organiser les conseils municipaux durant plusieurs semaines… « Nous avons eu la chance d’avoir un prestataire extérieur qui a eu le bon réflexe de débrancher tout ce qui pouvait être connecté au réseau. Nous n’avons pas payé la rançon exigée, mais le mal était fait.

Face au risque cyber,
il n’y a pas de grandes
ou de petites communes

Il a fallu dépenser 600 000 euros pour se doter de nouvelles infrastructures et reprendre au bout de trois mois une activité normale. Pour une commune d’un peu plus de 30 000 habitants, c’est un budget très lourd », explique Sébastien Simonin, conseiller municipal délégué au Numérique, aux Entreprises et à la Prospective économique. La menace pèse bien sûr au premier chef sur le cœur des systèmes d’information (réseau, ordinateurs et applications). Mais à l’heure de la « smart city » et du déploiement de l’intelligence artificielle et des objets connectés, le risque concernera demain l’ensemble des infrastructures numériques présentes sur les territoires : véhicules connectés, feux de circulation, lampadaires, capteurs et autres mobiliers urbains communicants. En cas d’attaque, la perspective de paralysies partielles, voire totales, des villes n’est plus à exclure. Face à ce risque, les politiques de sécurité des territoires demeurent peu structurées. Si l’inventaire des risques a généralement été réalisé, les plans de conduite ou de reprise d’activité (PCA/PRA) sont loin d’être systématiques. Selon une étude menée par le Club de la sécurité de l’information français (Clusif), association indépendante de professionnels de la sécurité de l’information, 59 % des collectivités de moins de 30 000 habitants déclaraient en 2020 avoir désigné un responsable dédié (RSSI) pour animer et déployer la politique de cybersécurité.

Ce manque de compétences pointues empêche les collectivités d’analyser la robustesse des solutions vendues par les prestataires. Si elles imposent des clauses de sécurité dans les cahiers des charges, elles sont souvent incapables d’en vérifier le respect.

Mutualisation des ressources

Face à l’explosion des cyberattaques contre les collectivités territoriales, le groupement d’intérêt public Action contre la cybermalveillance, qui gère Cybermalveillance.gouv.fr, a créé un groupe de travail à destination de ce public composé, entre autres, de l’Anssi, l’Avicca, la Banque des territoires, le CoTer numérique ou Déclic, et lancé un programme de sensibilisation à destination des élus. Les collectivités territoriales ne font pas partie des opérateurs d’importance vitale (OIV) ou des opérateurs de service essentiel (OSE) sur lesquels se concentrent les moyens de l’État. Dans le cadre de son plan de relance, l’État a mobilisé une enveloppe de 60 millions d’euros spécifiquement pour les territoires. Reste que ce dispositif concerne essentiellement les grandes collectivités. Quid des organisations et des établissements publics dont les moyens humains, techniques et financiers sont limités ? Pour éviter un saupoudrage aussi ruineux financièrement que complexe techniquement, les pouvoirs publics encouragent la mutualisation des ressources, ainsi que toute approche ou dispositif à même de garantir un accès aux compétences et la pérennité des investissements.

La Région, territoire de référence

Dans le cyberespace territorial, comme dans beaucoup de dimensions de la politique publique, il s’agit de trouver la bonne échelle de gouvernance : « La sécurité numérique, c’est un combat nécessairement collectif. Pour un territoire comme le nôtre (60 000 habitants pour la ville, le double pour l’agglomération), la Région est sans doute la meilleure échelle », explique François Guyon, délégué au Numérique auprès du président de l’agglomération de Niort. La stratégie d’accélération cyber lancée dans le cadre de France 2030 prévoit le déploiement dans les Régions de CSIRT (Computer Security Incident Response Team – équipe de réponse aux incidents informatiques), incubés avec le soutien de l’Anssi. Sa mission sera de soutenir et d’orienter les PME, ETI et collectivités victimes d’attaques ou d’incidents informatiques « de premier niveau ». Autre disposition : la création de campus cyber régionaux, dans le droit fil du campus cyber ouvert en 2021 à La Défense, près de Paris. Organisation de la filière, émergence de centres d’excellence, développement des formations, pilotage des mutualisations… Alors que l’Union européenne renforce sa stratégie cyber, que la France déploie des efforts inédits dans ce domaine, la structuration de cet écosystème et l’atteinte des objectifs fixés aux échelles nationale et supranationale repose en grande partie sur les territoires, notamment sur les Régions.