Collectivités : comment faire face à la cybermenace ?

La cyber menace se place aujourd’hui au cœur des préoccupations pour les collectivités, dont 13% sont, chaque année, touchées par une attaque¹. Selon l’ANSSI², les acteurs territoriaux représentent les deuxièmes organisations les plus ciblées, concentrant 23% des attaques. Le phénomène n’est pas nouveau mais il a pris, avec le télétravail et la situation géopolitique, des proportions réellement industrielles. Dans ce tableau, les communes de moins de 3 500 habitants, soit 91% du tissu national, sont encore trop peu conscientes du danger : 65% d’entre elles¹ considèrent en effet le risque cyber comme « nul voire faible ». Pour repousser l’échéance, ces collectivités invoquent quatre raisons : ce n’est pas leur métier, pas leur priorité, elles n’ont ni le temps, ni le budget. Pourtant, les cyberattaques n’arrivent pas qu’aux autres, comme le prouvent les nombreux exemples récents, à l’image de la ville de Chaville ou de l’hôpital Mignot à Versailles.

Si les collectivités font partie des victimes les plus fréquentes, c’est notamment parce qu’elles se protègent encore trop peu. Un pirate informatique préférera ainsi cibler cent petites communes d’un coup qu’attaquer frontalement une grande ville mieux préparée. Il faut savoir que l’écosystème de la cybercriminalité est aujourd’hui très organisé, avec de nombreux profils de hackers qui utilisent des modes opératoires variés, selon leurs objectifs. Pour pirater les collectivités, le phishing ou hameçonnage, via un email infecté, demeure la technique préférée des malfaiteurs. En moins de dix minutes, une infrastructure peut ainsi se retrouver totalement chiffrée, simplement parce qu’un collaborateur a ouvert une pièce jointe douteuse. Une fois le ver dans le fruit, les dégâts peuvent être absolument considérables, avec à la clé une désorganisation totale des services et la perte de données. La question n’étant plus de savoir si une collectivité sera touchée, mais plutôt quand, chacune d’entre elle, quelle que soit sa taille, a intérêt aujourd’hui à anticiper en effectuant des sauvegardes régulières et en formalisant son plan de reprise d’activité (PRA).

La commune yvelinoise de Houilles (35 000 habitants) a fait l’amère expérience d’une cyberattaque en 2021. Le maire de la ville, Julien Chambon, est revenu lors des Assises sur cette expérience douloureuse mais formatrice alors qu’il était élu depuis quelques mois seulement. Il a d’abord souligné l’extrême dépendance de toute l’activité municipale à la centaine de logiciels métier utilisés par les équipes, et la prise de conscience qui a résulté de la crise traversée. Sans pour autant se voiler la face : deux ans après, un test de phishing a démontré que 40% des agents cliquaient encore sur des liens potentiellement malveillants, d’où la nécessité de sensibiliser les équipes en continu. Julien Chambon a également évoqué la difficulté à juger du bon niveau de ressources à allouer à la cyber-protection, dans un contexte où l’exploitation même des systèmes est déjà très lourde financièrement pour les communes. Il a enfin expliqué à quel point il est ardu de trouver un interlocuteur compétent et disponible pour aider la municipalité à gérer techniquement la crise, dans l’urgence, afin de rétablir le service public.

Les acteurs publics se trouvent au début d’une nouvelle ère où les enjeux en matière de cybersécurité seront de plus en plus centraux, d’autant que le nombre croissant d’objets connectés augmente chaque jour la surface d’attaque. Le territoire francilien va cependant pouvoir capitaliser sur les événements à venir, Coupe du monde de Rugby 2023 et Jeux Olympiques 2024, afin de monter plusieurs marches d’un coup pour être prêt à contrer la menace, toujours démultipliée à l’occasion de ce type de manifestation. Parallèlement, la réglementation tant française qu’européenne (Directive NIS2) va s’intensifier et les contraintes de sécurité se renforcer. Dans ce contexte, les collectivités doivent poursuivre leur chemin vers la cyber-maturité : un parcours sur lequel Seine-et-Yvelines Numérique peut les accompagner dans la durée.