Les collectivités au défi de la mutualisation de la cybersécurité 

La délégation aux collectivités territoriales du Sénat a publié le 9 décembre son compte rendu des auditions sur la cybersécurité des territoires. Les sénateurs invitent les petites collectivités à une mutualisation des compétences cyber tout en reconnaissant la difficulté à la mettre en œuvre.

En 2020, près d’un tiers des collectivités territoriales ont été victimes d’une cyberattaque au rançongiciel selon le Clusif. Un chiffre en augmentation de 50% par rapport à 2019. Et la carte fournie par le GIP Cybermalveillance montre, s’il en était encore besoin, qu’aucun territoire n’est épargné. Si cette déferlante a conduit les pouvoirs publics à multiplier guides, dispositifs et financements, les sénateurs de la délégation aux collectivités territoriales estiment dans leur rapport que la prise de conscience des élus est "inégale et insuffisante".

Station d’épuration attaquée

Le rapport laisse du reste une large place aux témoignages de collectivités victimes de cyberattaques pour démontrer les pertes, dégâts et traumatismes qu’elles peuvent générer. Atteinte par un rançongiciel, Villers-Saint-Paul (60) a ainsi "perdu l'ensemble des données informatiques, de ressources humaines et financières". Une autre commune a mis plusieurs jours à identifier l’origine d’une défiguration intempestive de son site internet pour découvrir, avec l’appui de spécialistes que "les pirates avaient pris le contrôle complet du site et volé tous les mots de passe". Ces attaques affectent aussi les services délégués des collectivités, à l’image de la station d’épuration d’Oloron-Sainte-Marie (64) dont le système de supervision et d’alerte a été attaqué en juin 2021.

Les nombreux interlocuteurs des élus

Souhaitant apporter sa contribution à la sensibilisation des élus communaux et intercommunaux, le Sénat a publié deux infographies sur les bons réflexes en cas de cyberattaques. Des supports qui aideront notamment les élus à se repérer dans leurs (trop ?) nombreux interlocuteurs cyber. Les élus sont incités à porter plainte auprès de la gendarmerie ou du commissariat ou encore en saisissant le procureur de la République du tribunal d'instance dont ils dépendent. En cas de perte de données à caractère personnel, une déclaration à la Cnil, est à réaliser dans les 72h après l’attaque. Les mails suspects et tentatives d’hameçonnage peuvent être signalés sur la plateforme Pharos. Les collectivités sont enfin invitées à se tourner vers la plateforme Cybermalveillance et les gendarmes de l’unité ComCyberGend pour trouver conseils et assistance. L’accès à l’Anssi reste pour sa part réservé aux seuls opérateurs d’importance vitale.

La mutualisation et ses limites

Pour limiter drastiquement le nombre de cyberattaques, les communes doivent cependant mieux se protéger. Constatant que seules les grandes collectivités font aujourd’hui l’objet d’un accompagnement de la part de l’Anssi, le Sénat pousse à la mutualisation des moyens à une échelle intercommunale ou départementale, "en fonction des réalités territoriales". Une mutualisation qui s’impose pour "mettre en commun les efforts, affronter les pénuries de professionnels qualifiés et ainsi mettre en place une protection collective". La délégation est cependant la première à mesurer les limites de cette proposition car "elle suppose de lever les freins psychologiques tenant à la sensibilité des données des communes et à la crainte corrélative du transfert de ces dernières". La mutualisation informatique doit en outre trouver un juste milieu entre partage et cloisonnement. L’exemple de La Rochelle a en effet montré aux sénateurs que le cloisonnement entre le système d’information de la ville-centre et celui de l’agglomération avait permis d’épargner cette dernière des méfaits d’un rançongiciel qui a paralysé la municipalité plusieurs jours durant.