Cybersécurité : des collectivités qui peinent à anticiper les nouvelles menaces

Le Club de la sécurité de l’information français (Clusif), association indépendante de professionnels de la sécurité de l'information, a publié le 30 juin 2020 son étude sur les menaces informatiques et pratiques de sécurité (Mips), les collectivités territoriales faisant tous les deux ans l'objet d'un focus particulier. Si l'échantillon est limité à 202 collectivités interrogées par téléphone et exclut les communes de moins de 30.000 habitants, elle a le mérite de fournir quelques grandes tendances. Dans les signes encourageants, on notera une meilleure prise en compte des enjeux de sécurité, le RGPD ayant servi d'accélérateur à la mise en place des grands piliers de la sécurité des systèmes d'information (SSI). Ainsi 59% des répondants ont désigné un responsable dédié (RSSI) pour animer et déployer la politique de sécurité de la collectivité. Petit bémol cependant : près de la moitié sont des directeurs informatiques donc juge et partie pour analyser et évaluer la politique de sécurité…  À leur décharge, sur un marché de l'emploi "tendu", les collectivités ont du mal à recruter sur ce profil de poste. Par ailleurs, 75% ont désigné un délégué à la protection des données et 93% s'estiment conformes au RGPD.

Le chiffrement minoritaire

Côté actions, 97% ont mis en place une charte d'usage des outils informatique, 64% ont une politique en matière de mots de passe (complexité, durée...) et la sensibilisation des personnels aux sujets de cybersécurité est désormais généralisée. Une marge de progrès existe cependant sur la gestion des droits d'accès (applications, réseau) lors des changements de personnels. La gestion centralisée des matériels progresse aussi mais le chiffrement de bout en bout (mise en place de VPN) restent peu développés. Le BYOD – possibilité d'accéder au système d'information de la collectivité via un terminal personnel – connaît un reflux, il n'est pratiqué que par un tiers des collectivités, en recul de 7 points depuis la dernière enquête. 40% seulement ont enfin formalisé une politique de gestion des correctifs de sécurité, ceux-ci constituant une parade essentielle aux cyberattaques.

30% des collectivités victimes d'un rançongiciel

Les politiques de sécurité restent par ailleurs peu structurées. Si l'inventaire des risques a été réalisé dans la plupart des cas, le plan de conduite ou de reprise d’activité (PCA/PRA) n'a été mis en œuvre que dans un quart des collectivités. Le cloud computing connaît par ailleurs un bond spectaculaire (+43% depuis 2012), mais ne s'accompagne que rarement d'une "stratégie cloud" adaptée. Plus ennuyeux encore : le manque de compétences pointues en matière de code et de techniques de sécurité empêche les collectivités d'analyser la robustesse des solutions vendues par les prestataires. "Les collectivités imposent des clauses de sécurité dans les cahiers des charges, sans être capables d'en vérifier le respect par les prestataires" décrypte le RSSI de Grenoble Alpes métropole qui présentait l'étude. Autre souci, l'absence d'évaluation du coût des attaques et d'une façon plus générale la capacité d'anticipation. Si les attaques sont bien réelles – 30% des collectivités interrogées affirment avoir été victimes d'un rançongiciel, chiffre très significatif– une seule en a fourni son impact financier : 400.000 euros. "En fait, comme la plupart des collectivités affirment avoir pu récupérer leurs données, elles ne creusent pas plus à fond les causes de l'attaque et son impact financier. Or cette évaluation des coûts aiderait les directions informatiques à anticiper et à mieux négocier leur budget sécurité", analyse le RSSI. Enfin, en termes de structures, les grandes métropoles, les départements et les régions se révèlent mieux préparés que les agglomérations et les communautés de communes. Et si les communes ne sont pas évoquées, il est certain que seule la mutualisation pourra leur permettre de progresser.