La cybersécurité, parent pauvre des budgets informatiques des collectivités

La plupart des collectivités consacrent moins de 10% de leur budget à la cybersécurité, taux recommandé par l’Anssi, révèle une étude récente de la FNCCR. Et si la conscience du risque progresse du fait de la multiplication des attaques, un énorme effort de pédagogie reste à faire du côté des décideurs et des élus.

Fondée sur une enquête diffusée début 2021, l’étude de la FNCCR sur la cybersécurité, réalisée avec l’appui de Tactis, Parme avocats et Devoteam, se fonde sur un échantillon relativement faible (239 réponses issues de collectivités de toutes tailles). Elle est certainement biaisée par des répondants se sentant plutôt concernés mais elle révèle néanmoins des tendances intéressantes. Voire inquiétantes.

Une trentaine de victimes de rançongiciels

Sans surprise on y apprend qu’une majorité de grandes collectivités ont été victimes de cyberincidents. Et si le taux est faible pour les communes de moins de 500 habitants (11%) il est à prendre avec précaution car les cyberattaques sont parfois invisibles ou peu repérables pour des non spécialistes. Parmi les répondants, 15% (soit plus d’une trentaine de structures) déclarent avoir été victimes d’un rançongiciel, d’une escroquerie ou d’un vol de données et 30% de pannes matérielles. L’hameçonnage par mail est cité par 67% des répondants mais sans que l’on sache s’il s’agit d’une menace repérée ou d’une attaque ayant aboutie. Ces incidents ou attaques ont généré pour un bon tiers des structures un arrêt du système d’information, 31% déplorant une perte d’image et 18% une perte de données.

Des risques croissants et diffus

Pour les responsables des collectivités interrogées, l’exposition aux risques informatiques va de pair avec la dématérialisation administrative, citée par 74% des répondants et la généralisation des sites web (81%), porte d’entrée particulièrement prisée par les pirates et souvent déléguée à un prestataire. Les collectivités expriment par ailleurs "une plus grande difficulté à qualifier et hiérarchiser le risque entre logiciels internes, services aux usagers, applications des prestataires…" notent les auteurs. Autant de briques souvent interconnectées et gérées par de multiples acteurs, aboutissant à une dilution des responsabilités.

Moyens financiers en dessous des recommandations de l’Anssi

Si la conscience du risque progresse, la sécurité reste le parent pauvre des budgets informatiques. Cette part est de seulement 4,5% dans les départements, 6,5% chez les EPCI, seuls les syndicats et structures de mutualisation dépassent le seuil de 10%, considéré comme un seuil minimum par l’Anssi. Les leviers juridiques de la cybersécurité – clauses contractuelles sur l’hébergement, les services cloud, l’archivage, ou encore le droit à récupérer ses données en fin de contrat – sont par ailleurs peu maitrisées par les DSI des collectivités fautes de compétences juridiques. 12% estiment ainsi connaitre précisément "les mécanismes juridiques concrets pour répondre aux enjeux de cybersécurité". Une méconnaissance qui explique sans doute que les deux tiers des collectivités victimes de cyberattaques n’avaient pas de contrat d’assurance couvrant les dommages subis.

Cybersécurité et smart city

L’étude révèle enfin une grande hétérogénéité dans la prise en compte du risque cyber dans les projets de smart city. Seulement 16% qu’il s’agit d’un frein au déploiement de ces services, avec des répondants en majorité issus de grandes collectivités. 43%, avouent ne pas savoir… Un chiffre à rapprocher avec le fait qu’une majorité de répondants ne connaissent pas les guides cybersécurité élaborés par l’Anssi, l’AMF ou encore le GIP Cybermalveillance. Interrogées sur leurs attentes, les collectivités souhaitent davantage de mutualisation, des retours d’expériences et une liste de bonnes pratiques, notamment sur les objets connectés au cœur des projets smart city. Ils insistent aussi sur la nécessité de sensibiliser élus et décideurs, étape préalable à toute augmentation des moyens affectés à la cybersécurité.

Technologies et usages à risques

En parallèle de ce questionnaire, la FNCCR a publié une cartographie des technologies émergentes dans les territoires détaillant pour chacune des cas d’usage, le niveau de risque, la maturité du cadre juridique ou encore l’acceptation sociale. Les smartphones figurent ainsi dans la liste des technologies à risque élevé tout comme l’interconnexion des données par API du fait du risque de vol de données personnelles. Les solutions les plus matures apparaissent du coté de la vidéoprotection, des drones ou de l’hypervision urbaine. Mais ce n’est pas pour autant qu’elles sont bien acceptées par les populations. Plusieurs usages paraissent enfin manquer d’un cadre juridique clair et stabilisé comme l’internet des objets, les bâtiments intelligents ou encore la blockchain.