Dans un contexte où les cyberattaques contre les collectivités s’intensifient, quels moyens s’offrent à elles pour se protéger ? Comment prévenir ces risques, mais aussi comment réagir et rebondir le jour où cela arrive ? A l’occasion de la quatrième table ronde des Assises 2022, élus et experts réunis autour d’Ariel Gomez, rédacteur en chef Smart City Mag, ont échangé retour d’expériences et conseils.
Montée en puissance des cyberattaques sur les collectivités
Si le phénomène des cyberattaques n’est pas totalement nouveau, il a pris depuis 2020 des proportions réellement industrielles. Selon cybermalveillance.gouv.fr le nombre de collectivités touchées a augmenté de 400% en 2021, et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) évoquait récemment le chiffre de 40 entités publiques ciblées chaque semaine, avec à la clé des dégâts souvent très lourds : services aux citoyens coupés, données perdues, fonctions totalement désorganisées… « Face à ce risque majeur, les collectivités ne sont pas seules. Elles peuvent dans un premier temps se tourner vers l’ANSSI afin de comprendre comment opèrent les pirates mais aussi de connaître les 42 règles d’hygiène numérique de base, que l’agence a répertoriées dans un guide et qui permettent de se prémunir contre 90% des attaques en circulation » a rappelé, Guillaume Crépin, Référent Ile-de-France, ANSSI. Parmi les mesures clés, la définition en amont d’un plan de gestion de crise est incontournable. Autres axes majeurs de prévention : la sensibilisation des utilisateurs et la formalisation de l’ensemble des procédures informatiques dans une charte.
Subir une cyberattaque : une expérience douloureuse
Mieux vaut en effet prévenir, car ceux qui ont vécu une cyberattaque sont durablement marqués par cette expérience traumatisante. C’est le cas de la municipalité de Miremont (78), une commune de 270 habitants dont la maire, Annie Joseph est venue témoigner lors de la table-ronde. « Quand j’ai réalisé que nous étions sous le coup d’une cyberattaque, j’ai vécu un grand moment de solitude, ne sachant par quel bout prendre le problème. Il nous a fallu deux à trois semaines pour reconstruire notre outil de travail, et certaines données sont perdues à jamais » a-t-elle relaté. Même mésaventure pour le CIG, organisme qui gère notamment la carrière des agents de 1 100 collectivités territoriales. Ce dernier a vu 70 de ses 170 serveurs effacés et 18 cryptés, avec à la clé des centaines de problèmes à régler du jour au lendemain, d’ordre à la fois juridique, technique et managérial, sans oublier l’aspect communication de crise. Un défi relevé par les équipes au prix d’une mobilisation intense qui laissera durablement des traces. « Quand on subit ce type d’agression, on a droit à quinze jours de compassion. Ensuite, et c’est normal, partenaires et clients attendent de vous que vous leur présentiez les solutions mises en place pour continuer à délivrer vos prestations. D’où l’importance d’être bien préparé » a ajouté Jean-Laurent Nguyen Khac, Directeur général, CIG.
Se préparer pour agir efficacement le moment venu
Fortes de ces constats et pour parer à toute éventualité, certaines communes ont fait le choix de commanditer un audit de leur sécurité numérique partiellement financé par le Plan France Relance, à l’image de Meudon (92). Cette municipalité, qui compte 650 agents et un parc de 300 postes actifs, a ainsi pu identifier ses points de fragilité et agir pour consolider sa ligne de défense. « Pour Meudon, la cybersécurité est désormais un sujet de programmation budgétaire à part entière. Au-delà du volume des investissements à prévoir en ce sens, nous réfléchissons aussi à la manière de sanctuariser du temps pour que les équipes se tiennent à jour sur ce sujet, la sensibilisation étant un des piliers de la prévention » a déclaré Denis Larghero, Maire de Meudon, Vice-Président des Hauts-de-Seine et Vice-Président de Seine-et-Yvelines Numérique. Une démarche qui va dans le bon sens, le budget consacré à la sécurité numérique ne représentant aujourd’hui en moyenne que 4% du budget global alloué au numérique, là où l’ANSSI préconise un ratio de 10%.
Une dynamique d’innovation en marche
Pour fédérer les expertises autour du sujet de la cybersécurité, un Campus Cyber a vu le jour dans les Hauts-de-Seine en février 2022, regroupant au sein de sa gouvernance 44% d’organismes publics et 56% d’entreprises privées. « L’ambition est de faire du lieu un creuset d’innovation national, structuré et orienté par l’écosystème lui-même, des chercheurs aux formateurs, en passant par les clients finaux. Il vise aussi à développer la confiance dans le numérique et de former toujours plus de spécialistes en cybersécurité » a précisé Fabien Gainier, Responsable du Studio des Communs de la Cyber et RSE du Campus Cyber. La mutualisation, qui est au cœur de la démarche d’innovation du Campus, fait par ailleurs partie de l’ADN de Seine-et-Yvelines Numérique, dont la nouvelle offre cybersécurité propose des prestations évolutives et adaptables à tous les types de collectivités, quelle que soit leur taille et leurs moyens financiers. ■
Envie de visionner la table-ronde dans son intégralité ? Ça se passe ici :