Congrès des maires – Cybersécurité des petites communes : un début de prise de conscience qui ne se traduit pas encore en actes

Deux ans après une première enquête centrée sur les communes de moins de 3.500 habitants, le GIP Cybermalveillance a réitéré l'exercice en l'étendant aux communes de moins de 25.000 habitants.1.178 communes ont répondu en octobre 2023 à un questionnaire portant sur leur perception du risque, les cyber-incidents qu'elles ont subis, les budgets alloués et leurs attentes en matière de cybersécurité.

1 commune sur 10 victime de cyberattaque

Il s'avère ainsi qu'environ une collectivité sur dix déclare avoir subi une cyberattaque, principalement sous forme d'hameçonnage et de virus, 37% n'identifiant cependant pas la menace. Un chiffre jugé "sans doute sous-évalué", nous indique le GIP. Dans 40% des cas, ces incidents ont entraîné une interruption des services et dans 20% des cas des pertes de données. La perception du risque reste cependant toujours aussi hétérogène. Si les communes de plus de 10.000 habitants sont 70% à s'estimer très exposées aux risques, le chiffre tombe à 37% pour les communes de moins de 1.000 habitants, 20% n'étant pas en mesure de répondre à la question. La sensibilisation est pourtant en progrès. 78% des personnes interrogées affirment en effet avoir été sensibilisées au moins une fois à la sécurité informatique.

Des budgets cybersécurité très faibles

Coté équipement de sécurité, 94% des répondants sont dotés d'au moins un outil ; 3 outils en moyenne pour les plus petites et près de 5 pour les collectivités de plus de 5.000 habitants. 85% déclarent ainsi avoir mis en place une sauvegarde et un antivirus. La modestie de l'équipement est à rapprocher de la faiblesse des moyens alloués à l'informatique. 65% des collectivités consacrent moins de 5.000 euros à leur budget informatique dont un tiers moins de 2.000 euros, et 81% des plus petites collectivités ne dépassent pas les 5.000 euros de budget annuel. Au sein de ce budget, la cybersécurité représente moins de 2.000 euros dans 75% des cas. Plus inquiétant encore, seulement 12% des collectivités interrogées comptent augmenter leur budget cyber.

Faible préparation aux cyberattaques

Ces moyens limités entrainent "des usages à risque" relève Cybermalveillance avec 62% des communes interrogées qui reconnaissent utiliser des équipements personnels, et notamment un téléphone mobile (88%), pour des usages professionnels. Paradoxalement, ces constats et pratiques n'empêchent pas la moitié des communes de se sentir "bien ou très bien" protégées, 18% n'étant pas en mesure de l'évaluer. Ce sentiment de protection reste cependant relatif car la moitié d'entre elles avouent ne pas être préparées à une cyberattaque et 62% n'ont pas mis en place de procédure de réaction. Les rares collectivités à en être dotées sont principalement dans la strate des plus de 5.000 habitants. En matière d'interlocuteurs cyber, le prestataire informatique de la commune arrive en 1ere position (71%) devant les gendarmes (24%), Cybermalveillance et les structures de mutualisation (16% chaque).

Un besoin d'acculturation

Pour expliquer leur faible niveau de maturité cyber, les communes font état d'un manque de connaissance du sujet (45%) cité devant le manque de ressources humaines (38%), de temps et de budget (34% chaque). Les attentes portent sur des outils de sécurisation (55%), de conseils spécialisés (51%) et de dispositifs de sensibilisation (50%). "Ce résultat témoigne d’une certaine prise de conscience des enjeux, qui, si elle évolue positivement, doit toucher toutes les populations des collectivités, et ce régulièrement pour que des réflexes s’instaurent durablement et qu’elles puissent être armées face aux cyberattaques" en conclut Cybermalveillance.

Le GIP nous indique vouloir tenir compte des résultats de cette enquête pour son programme d'action 2024. Les collectivités sont notamment incitées à se saisir de SensCyber, son programme d'e-sensibilisation des agents de la fonction publique à la cybersécurité, et de sa méthodologie de sensibilisation aux risques créée avec l'appui de l'AMF. La réalisation d'un diagnostic cyber en s'appuyant sur les outils GIP et ses prestataires labellisés sera également encouragée.