Image par Buffik de Pixabay

La plateforme cybermalveillance.gouv.fr a publié  le 21 novembre 2023 une étude sur la cybersécurité dans les communes de moins de 25 000 habitants. Ces travaux d’analyse mettent en avant la maturité, les freins et les besoins des collectivités en matière de cybersécurité. Les résultats de l’enquête se basent sur les réponses de 1178 personnes, dont 76 % sont des agents et 24 % des élus. Le choix d’interroger les communes de moins de 25 000 habitants s’explique par la représentativité de ces dernières : elles correspondent à 99 % des communes et presque 70 % de la population française.
Cette étude met en exergue la nécessité d’une plus forte sensibilisation et préparation aux risques cyber pour les communes. En effet, 78 % des communes ont été sensibilisées au moins une fois au cours des douze derniers mois, et pourtant une collectivité sur deux s’estime exposée aux menaces. Une plus grande sensibilisation permettra l’augmentation de moyens de cybersécurité au sein des communes et, par conséquent, une meilleure résilience communale.

Pourquoi les communes sont vulnérables ?

L’ANSSI a traité 187 incidents cyber affectant les collectivités territoriales, de janvier 2022 à juin 2023, soit une moyenne de 10 incidents par mois. Or, la majorité des incidents (126) concernent des communes et/ou des EPCI à fiscalité propre.

En effet, les communes sont des cibles de choix pour les cyber criminels, et ce pour plusieurs raisons : 

  • Premièrement, les communes détiennent de nombreuses données sensibles relatives aux administrés ou à l’État, de nature variée : administratives, financières et personnelles. Ces données sont d’un intérêt majeur lors d’attaques à but lucratif (demande de rançon, revente de données, diffusion sur le darkweb, usurpation d’identité etc.).
  • Par ailleurs, la protection face au risque cyber passe par des ressources budgétaires suffisantes. Or, 75 % des élus et agents reconnaissent dépenser moins de 2000 € par an pour la cybersécurité de leur collectivité. Plus la commune est de petite taille et plus le budget consacré à la cybersécurité est faible; il en va de même pour les communes ne considérant pas le risque cyber comme important.
  • Enfin, les communes sont sujettes à un manque de préparation, de sensibilisation et de connaissances sur les risques cyber les affectant. En effet, seules 14 % des collectivités se disent préparées en cas d’attaque, et seulement une sur cinq (19 %) dispose d’une procédure de réaction. L’analyse de cybermalveillance.gouv.fr expose que “si les 3/4 des collectivités prétendent avoir confié leur sécurité à un prestataire, il n’en reste pas moins que près d’une collectivité sur cinq reconnaît ne pas savoir ce qu’il en est, voire n’assurer aucune gestion de sa sécurité informatique”. Ces lacunes sont le corollaire du manque de budget consacré à la cybersécurité, mais également un manque d’exercice de gestion de crise cyber, et des difficultés à gérer la sécurité des données détenues.

Ainsi, les communes restent vulnérables aux risques cyber en raison des données qu’elles détiennent, mais en particulier à cause d’une cybersécurité faible ou inexistante. L’étude de cybermalvaillance.gouv relate que 92 % des collectivités citent un des freins suivants dans l’adoption d’un bon niveau de sécurité informatique  :

  • 45 % font état d’un vrai manque de connaissance sur le sujet, 
  • 38 % mettent en avant une absence de ressources humaines dédiées, 
  • 34 % déclarent manquer de temps, 
  • 34 % déclarent manquer de budget.

Quels sont les impacts d’une cyberattaque ?

Les attaques à but lucratif représentent la principale menace cyber contre les communes. Elles revêtent diverses formes, mais les communes sont majoritairement victimes de ransomware, de compromission de comptes de messageries des agents ou encore d’intrusion sur les serveurs informatiques, comme l’indique le graphique ci-dessous. 

Proportion d’incidents par catégorie d’attaque, source ANSSI

Ces attaques, ont de multiples conséquences n’affectant pas seulement le fonctionnement de la commune. 

Principalement, les cyberattaques ont pour but la fuite de données ou, de manière secondaire, la destruction de données. Ces exfiltrations peuvent viser des données potentiellement sensibles, ou encore des informations personnelles d’agents et d’usager, et entraîner des préjudices. 

Ces compromissions de données peuvent être répréhensibles si les mesures de protection mises en place par la commune n’étaient pas suffisantes. En effet, les collectivités locales sont tenues par obligations juridiques en matière de cyber sécurité. Dans son Guide des obligations et responsabilités des collectivités locales en matière de cybersécurité, cybermalvaillance.gouv expose les obligations des communes en matière de protection des données personnelles, des téléservices locaux, et des données de santé. Ces obligations entraînent alors la mise en jeu de la responsabilité juridique des communes. Ainsi, ce guide expose trois types de responsabilité des collectivités locales et des établissements publics peuvent être engagés en cas de cyberattaques : 

1. La responsabilité administrative : 

Les sanctions administratives de la CNIL: “dans l’hypothèse d’une cyberattaque frappant une collectivité locale et occasionnant une fuite de données personnelles (ex.: données issues des comptes utilisateurs d’un téléservice), la CNIL pourrait décider de sanctions pécuniaires dès lors qu’elle considérerait que cette fuite de données résulte en partie de manquements graves aux mesures de sécurité nécessaires à la protection des données personnelles”*.

La responsabilité administrative pour faute: ce régime de responsabilité s’applique également en cas de cyber attaque. De ce fait, “des entreprises ou des administrés pourraient réclamer, auprès d’une collectivité locale ou d’un établissement public, l’indemnisation des préjudices subis du fait des conséquences d’une cyberattaque”* si ces préjudices résultent d’un manquement aux obligations de la collectivité. 

La responsabilité de l’administration pour dommage de travaux publics: “dans des cas exceptionnels, une cyberattaque de grande ampleur pourrait conduire à la mise en cause de la responsabilité pour dommages de travaux publics d’une collectivité locale si elle entraîne le dysfonctionnement d’une installation ou d’un ouvrage public et que cela occasionne des dommages aux usagers (ex: attaque sur système d’épuration d’eau)”*

2. La responsabilité civile :

responsabilité civile personnelle des élus et agents publics qui peut être engagée en cas de cyberattaque. En effet, en application du principe de cumul de responsabilités, la collectivité peut engager une action récursoire contre l’élu, si ce dernier a commis une faute grave dans le cadre de ses fonctions, conduisant à lui imputer une faute personnelle détachable du service.

3. La responsabilité pénale :

“La mise en cause de la responsabilité pénale des agents et élus des collectivités locales et de leurs établissements publics peut résulter de la violation des règles relatives à la protection des données personnelles, mais aussi de la commission de fautes d’imprudence ou de négligence.”*

En outre, une cyberattaque risque de mener la commune à l’incapacité de fonctionner correctement et remplir ses missions pendant un certain temps. Cybermalveillance.gouv relève que l’interruption d’activité et de service représente 40 % des cas. Dans son rapport, l’ANSSI met en garde que lors de la compromission informatique, “de multiples services publics (aides sociales, état civil, urbanisme, administration des cimetières, gestion de l’eau et des déchets, etc.) et services internes à la collectivité (téléphonie, messagerie, finance, ressources humaines, etc.) ne sont plus opérationnels”*.

S’ajoute à cela, le délai important nécessaire à la reconstruction et au durcissement du système d’information.

 

Source : Etude – maturité des collectivités en matière de cybersécurité

Par ailleurs, les préjudices financiers sont également des impacts majeurs découlant d’une cyberattaque. Ainsi, les communes victimes auront à supporter des coûts directs tels que ceux du rétablissement des systèmes informatiques (ex: réinstallation et reconfiguration des serveurs, modification d’une architecture réseau, intervention de prestataires spécialisés en urgence, etc.). Des préjudices financiers indirects sont également à prendre en compte, notamment les coûts liés à l’indisponibilité d’équipements publics. 

Enfin, une cyberattaque impacte l’image et la crédibilité de la commune, qui verra le lien de confiance avec administrés affaibli.

Comment les communes peuvent traiter la menace cyber ?

Les communes peuvent initier la pris en compte du risque cyber dans leurs dispositifs de prévention des risques et de gestion de crise existants, tels que le PCS et le DICRIM. Ce processus débute par l’identification du risque, l’évaluation de son niveau d’exposition (probabilité et impacts sur les activités) et de son niveau de maîtrise de ce type de menaces par la commune (mesures de protection, de prévention et de réaction existantes).

Parmi les bonnes pratiques recommandées, il est conseillé d’établir une liste, voire une cartographie, des actifs et des systèmes d’information afin de délimiter clairement le périmètre et les services susceptibles d’être impactés. Pour l’analyse de la menace cyber, il existe deux référentiels reconnus : EBIOS risk manager (FR-ANSSI) et la méthode FAIR (américaine).

Sur le plan organisationnel, il est également important que la commune désigne un DPO (Data Protection Officer) et le rende connu du personnel et des citoyens afin de garantir le respect des exigences du Règlement général sur la protection des données (RGPD).

Il est vivement recommandé de mener des actions de sensibilisation et de formation du personnel sur le RGPD, ainsi que sur les bonnes pratiques en matière d’hygiène et de sécurité informatique, afin de protéger les systèmes de la commune.

La commune peut également identifier des experts en cybersécurité qui pourront être sollicités en cas de crise, notamment en cas d’attaque cyber.

Image par Gerd Altmann de Pixabay

Sur un plan technique plus précis, la commune peut mettre en oeuvre les bonnes pratiques suivantes :

  • Maintenir à jour les systèmes d’information, y compris les logiciels, les applications et les systèmes d’exploitation sur les appareils (ordinateurs et périphériques tels que les imprimantes) et sur les serveurs afin d’éliminer les vulnérabilités connues. L’activation automatique des mises à jour (correctifs) est une option à considérer.
  • Activer des logiciels de sécurité tels que les antivirus sur tous les appareils connectés.
  • Configurer correctement les appareils pour assurer leur sécurité, notamment en modifiant les mots de passe par défaut, en bloquant les ports inutiles, en désactivant les services non essentiels et en supprimant les logiciels obsolètes.
  • Mettre en place des outils de défense tels que les pare-feux avec une base de données des logiciels malveillants à jour et un abonnement à un service de surveillance continue des flux numériques et d’alerte des programmes malveillants. L’utilisation d’un pare-feu DNS est fortement recommandée pour bloquer l’accès aux domaines malveillants connus.
  • Segmenter le réseau entre les différents services afin de limiter la propagation des infections en interne. Les réseaux accessibles au public doivent également être séparés ou isolés des réseaux opérationnels.
  • Renforcer la sécurité des services et supports mobiles en adoptant des mesures telles que l’utilisation de filtres de confidentialité pour les écrans d’ordinateurs portables, la séparation des données professionnelles et personnelles sur les appareils mobiles, la désactivation de la connexion automatique aux réseaux Wi-Fi ouverts, la limitation de l’utilisation de la technologie Bluetooth, de chiffrer les informations sensibles stockées sur les appareils mobiles, recommander au personnel d’utiliser le réseau Wi-Fi de l’organisation ou le réseau cellulaire plutôt qu’un réseau Wi-Fi public et de télécharger des applications uniquement à partir de sources de confiance établies par la commune.

Chaque collectivité peut ainsi mettre en place des contrôles de cybersécurité minimaux et des mesures de sécurité physique, qui constituent des éléments essentiels d’un programme de cybersécurité. Avant tout investissement supplémentaire, chaque commune doit évaluer ses propres besoins et déterminer si son contexte justifie de telles dépenses.

Lara Sabbioni et Claire Menon

12 février 2024

Bibliographie