Depuis plusieurs années, le développement des usages numériques et le lancement de projets smart city génèrent une augmentation des risques liés à la cybersécurité dans les collectivités territoriales. Selon une étude réalisée par la FNCCR (en partenariat avec Tactis, Devoteam et Parme Avocats), toutes les collectivités, quelle que soit leur taille ou la criticité de leurs activités, sont susceptibles d’être touchées par une attaque cyber. Du reste, plus la taille de la collectivité est grande, plus le nombre de tentatives détectées est important. Ainsi, près de la moitié des collectivités de plus de 50 000 habitants interrogées indiquent avoir été régulièrement ciblées par des attaques.
Si le phishing et les malwares restent les moyens les plus utilisés par les hackers, une explosion du nombre d’attaques par rançongiciel (ransomware) est constatée depuis 2020. Les experts soulignent que les collectivités sont particulièrement concernées par ce mode d’action en raison de la complexité de leurs systèmes d’information et de leur capacité financière à payer les rançons demandées. Par exemple, en mars 2020, la Métropole Aix-Marseille a été touchée par un rançongiciel et 90 % de ses données ont été chiffrées et rendues inutilisables par les cyber attaquants. Entre décembre 2020 et janvier 2021, Angers, La Rochelle et Annecy ont également été touchés.
La cybersécurité n’est pas perçue comme un frein aux projets smart city
Pourtant, malgré cela, la prise de conscience du risque par les collectivités n’est pas encore suffisante, notamment dans les plus petites d’entre elles. Il est d’ailleurs intéressant de noter que, selon l’étude, les enjeux de cybersécurité ne sont pas systématiquement intégrés à la conception des projets de développements numériques ou de smart city. Ainsi, 84 % des collectivités consultées ne perçoivent pas la cybersécurité comme un frein au lancement de projets smart, ou n’ont pas d’avis sur la question. Par ailleurs, seulement 12 % des structures interrogées ont connaissance de mécanismes juridiques concrets permettant de répondre aux enjeux de la cybersécurité.
Pour autant, les obstacles à la mise en place d’une véritable stratégie de protection contre les risques cyber dans les collectivités sont avant tout d’ordre juridique et financier. Une situation paradoxale puisque ces dernières vont de plus en plus être amenées à jouer le rôle de chef d’orchestre dans la mise en place d’un cadre général et harmonisé de cybersécurité sur leur territoire.
Des pistes de sécurisation et des recommandations
Au-delà des constats, l’étude met en évidence cinq pistes de sécurisation considérées comme primordiales à l’adresse des collectivités : réduction de la dépendance vis-àvis d’infrastructures tierces, prévision de redondances et de processus en cas de panne de service, application de mesures pertinentes de sécurité des systèmes d’information, renforcement des contrôles et traçabilité des accès, et enfin déploiement de solutions de chiffrement pour les données qui transitent sur les réseaux.
Par ailleurs, la FNCCR et ses partenaires formulent 10 recommandations pour améliorer globalement la cybersécurité des collectivités locales. Ils proposent notamment de privilégier la mutualisation territoriale pour renforcer les moyens affectés à la cybersécurité, de faire de cette dernière un enjeu politique, de sensibiliser et former les agents et les élus aux menaces informatiques, d’intégrer la cybersécurité nativement à l’ensemble des projets, de développer un processus d’amélioration continue sur le sujet ou encore de renforcer la sécurisation des documents publics sensibles. Enfin, ils soulignent que la constitution d’un CERT (Computer Emergency Response Team) d’envergure nationale, spécifiquement orienté vers les villes et territoires intelligents, présenterait beaucoup d’avantages.
