Si la sécurité informatique de l’administration française s’est consolidée ces dernières années, les collectivités territoriales connaissent encore de nombreuses lacunes en la matière. L’ANSSI a observé une forte augmentation des attaques rançongiciels, dont « ¼ ciblaient les collectivités territoriales », explique Eric Hazane, chargé de mission stratégie des territoires de l’ANSSI. Et d’ajouter « la collectivité est le premier maillon : il ne peut pas être faible et doit être renforcé ».
Par HUGO CHAMPION & SIMON DOUAGLIN
L’Etat français a pris la mesure des enjeux dès 2018. La cybersécurité des collectivités territoriales est en effet entrée dans les champs prioritaires définis par la Revue Stratégique de Cyberdéfense. L’hétérogénéité des collectivités traduit alors des besoins, des dispositifs et des moyens spécifiques.
La collectivité territoriale au cœur de la stratégie de cyberdéfense de l’Etat
Il est rappelé dans le livret publié à l’issue de la signature de la convention entre Declic et l’ANSSI lors du FIC 2020, qu’au « même titre que les SI de l’Etat, des opérateurs d’importance vitale (OIV) ou des opérateurs de services essentiels (OSE), la protection des SI des collectivités territoriales fait partie des champs prioritaires définis par la RSC pour consolider le modèle national de cyberdéfense ». Les cyberattaques et en particulier les ransomwares touchant les municipalités se multiplient : Sarrebourg (Moselle) en juin 2019 ou l’agglomération du Grand Cognac (Charente) en octobre ont dû faire face à des attaques de piratage informatique qui ont bloqué pendant plusieurs jours leurs services administratifs, sans parlé d e l’attaque massive qui a paralysé tout le Grand-Est en février dernier. Dès lors, les collectivités, et ce quelle que soit leur taille, détiennent des données sensibles et deviennent une nouvelle cible de choix des pirates informatiques.
Néanmoins, une distorsion de la perception de cette problématique entre les agents territoriaux et l’Etat apparaît. Les priorités de la commune ne portent que trop rarement sur la sécurisation des données des citoyens et des infrastructures sensibles.
La sécurité numérique : un sujet trop éloigné des préoccupations de la commune
Sur les quelques 34.000 communes françaises, la majorité d’entre elles ne compte pas plus de 500 habitants. « Une mairie de 500 habitants c’est 1 permanent », rappelle Benoît Liénard, directeur général de Soluris et des services du Syndicat informatique de Charente-Maritime. On comprend dès lors pourquoi le risque cyber n’apparaît pas comme une priorité pour le maire, trop peu souvent acculturé à cette problématique et dont le manque de moyens humains autant que financiers, représente un véritable frein. Aujourd’hui, le risque cyber paraît être un « sujet trop éloigné de l’élu, cantonné à l’expertise du technicien », confirme Valéria Faure-Muntian, députée de la Loire, Vice-présidente de la commission des affaires économiques. Le constat est partagé, « la cybersécurité n’est pas une priorité dans les mairies, notamment en raison du budget », explique Anne Le Henanff, vice-présidente de « villes-internet » et adjoint au maire de Vannes.
Les collectivités et les parlementaires montent au front
Certaines collectivités ont saisi la menace grandissante qui pese sur les communes. Alors que l’Etat a prévu plusieurs projets de modernisation de l’administration et de transformation digitale « les collectivités locales doivent prendre part à ces chantiers et s’organiser pour être proactives et moteur », souligne Anne Le Henanff. De nombreux parlementaires se sont emparés du sujet de la cybersécurité, conscients des risques existant et notamment à venir, alors que la transformation numérique des territoires s’accélère. L’accent est mis sur « les nombreux outils et les bonnes pratiques qui permettent d’anticiper et minimiser sensiblement l’impact d’une cyber-attaque », explique la députée Valéria Faure-Muntian. Dans son rapport intitulé « Les données géographiques souveraines », la députée évoque l’importance de « construire un socle commun d’applications, de briques numériques, de référentiels et de cadres partagés pour accélérer la transformation numérique, de garantir une gouvernance partagée entre l’État et les collectivités territoriales de la transformation numérique, de contribuer à une approche globale de la donnée au service des politiques d’intérêt général et de faciliter le passage à l’échelle de l’administration numérique. » et ce notamment dans le cadre de la mise en place du programme de développement concerté de l’administration numérique territoriale (DCANT).
Cette implication transversale des acteurs publics témoigne de la dynamique enclenchée, qui permettra de sensibiliser l’ensemble des acteurs au risque cyber dans les territoires les moins préparés.
Les agents publics comme acteurs de la sécurité numérique
Le numérique transforme les collectivités territoriales et les agents publics se trouvent en première ligne face à ces évolutions. Les agents représentent autant de maillons dans la chaîne de sécurité du numérique et l’enjeu réside dans leur formation et dans leur sensibilisation afin de « maîtriser la faille humaine » explique Mauna Traikia, conseillère territoriale Développement Numérique Plaine Commune et conseillère municipale Développement économique à Epinay-sur-seine. Ayant pris conscience de la fragilité des SI à travers le développement de projets structurants, les agents territoriaux sont devenus eux-mêmes acteurs de la sécurité numérique de leur collectivité. A ce titre, ils ont mis en place un hackathon, en partenariat avec l’association Human2Sport, qui « […] vise à faire du territoire de Plaine Commune la plateforme de l’innovation et d’expérimentations […] ». Ces agents sont les acteurs de la transformation numérique et doivent permettre d’enclencher un cercle vertueux impliquant l’ensemble des individus. Dans ce contexte, le Contrat de Développement Territorial (CDT) de la Plaine Commune prévoit l’accompagnement et la formation de l’humain en matière de numérique : « Des actions de sensibilisation des acteurs du territoire (entreprises, associations, habitants…) aux enjeux de développement du numérique et de l’e-formation sont mises en œuvre. » Sujet transversal, le numérique permet également de « répondre aux enjeux du développement durable par une stratégie d’écologie urbaine au service du mieux vivre dans sa ville ».
L’implication des acteurs privés
Le partenariat public-privé favorise la mise en partage des connaissances et des bonnes pratiques. « Nous organisons régulièrement des conférences avec des acteurs publics (la DINSIC3, la CNIL4, le ministère de la Justice, le CGET5, la DGFIP6, etc.) et des collectivités innovantes pour sensibiliser, informer, proposer des solutions et partager les bonnes pratiques en matière de numérique dans les territoires », explique Emmanuel Vivé, président de Déclic.
Les acteurs privés mettent également leurs solutions au service des collectivités territoriales. Ces soutiens et ces relais sont nécessaires pour élever le niveau de sécurité de la collectivité. « C’était déjà ce que nous faisions auparavant, via nos relations avec des organisations comme Soluris, mais en travaillant avec Declic, nous cherchons à toucher un public plus large », explique Pierre Gacic, chef de la division coordination territoriale à l’ANSSI.
Dans la même logique, la création de la Chaire cyberdéfense et cybersécurité de Saint-Cyr, partenaire de Thales et de Sogeti, constitue « un lieu d’échanges et de communication entre les partenaires publics, privés et la société civile sur ces sujets sensibles », déclare Jean-Paul Laborde, titulaire de la Chaire.
Vers une évolution du modèle de gouvernance
« La mutualisation en matière cyber est nécessaire dans les territoires », explique Yves Le Floch, directeur commercial cybersécurité France chez Sogeti. Et Anne Le Henanff d’ajouter : « la possibilitéde mutualiser cette fonction à l’échelle d’un service intercommunal, départemental ou régional devrait être davantage étudiée ». La mutualisation en matière cyber sert directement la protection des données du citoyen. « De nombreuses communes ne savent même pas où se situent les données des citoyens et tendent alors à déléguer au privé », explique Anne Le Henanff. Dans ce contexte, la création du data center dans le Morbihan où seront stockées les données personnelles, répond aux exigences de sécurité et aux attentes des administrés. « D’ici 1 an, les collectivités territoriales auront la possibilité de confier leurs données au data center », précise Anne Le Hénanff.
La préfecture : acteur pivot de la sécurité des collectivités
D’autres besoins se font entendre, notamment « l’implication des représentants de l’Etat au niveau de chaque département », souligne Jean-Paul Laborde. La préfecture est conviée à intégrer le partenariat privé-public, afin de donner une impulsion supplémentaire à la synergie des acteurs.
L’élu face aux évolutions juridiques du numérique
Face aux cyber menaces, le défi pour les collectivités territoriales est également d’ordre juridique. La législation en vigueur apporte des exigences en matière de gestion des données personnelles par les collectivités locales afin de protéger les différentes étapes, de la collecte jusqu’au stockage.
La distinction entre données personnelles et données sensibles, introduite par la loi pour une république numérique, doit permettre d’apporter un cadre aux élus afin de hiérarchiser les données. De même, le RGPD a apporté un cadre juridique renforcé qui s’est accompagné d’une prise de conscience de la part des élus autour de l’enjeu que représente la protection des données personnelles pour les organisations.
Reste à définir le mode de gestion de ces données : en interne ou en externe. « Bien que la législation en vigueur prévoie une responsabilité renforcée des sous-traitants, l’enjeu est de définir, en amont, le cadre d’action entre collectivités territoriales et sous-traitants », conseille maître Doutriaux. Il s’agit de considérer la protection des données personnelles comme un défi transversal auquel tous les acteurs des collectivités territoriales doivent prendre part et ce, de manière conjointe. Dans certaines collectivités, le risque cyber est maîtrisé car « les élus ont pris la mesure de l’enjeu » explique Jean-Paul Laborde et d’ajouter : « il est impératif de déployer ces bonnes pratiques dans l’ensemble des territoires afin de renforcer la sécurité globale des collectivités territoriales ».
Face à ce constat, les différents acteurs s’organisent. Partenariat public-privé, formation et sensibilisation de la population, action de l’ANSSI et de la CNIL sont autant de moyens et d’acteurs qui accompagnent les élus et les collectivités territoriales afin de former un continuum de cybersécurité propre à défendre les données des citoyens, de plus en plus prisées par les cybercriminels.
Par ailleurs, des évolutions exogènes doivent permettre de renforcer ce continuum. D’abord, les préfectures doivent prendre toute la place qui est la leur dans la protection des données personnelles en accompagnant les collectivités territoriales dans leurs démarches. S’il est évident que « Nous devons faire en sorte que nos droits, notre vie privée et notre sécurité soient protégés de la même façon en ligne que hors ligne » selon les termes d’Ursula Von der Leyen, il ne s’agit pas de culpabiliser l’élu qui doit faire face à des obstacles d’ordre juridique mais également technologique. Il faut donc adapter la législation et revoir les sanctions pénales dans une logique constructive afin de renforcer le pouvoir de l’élu. « La réglementation est tellement complexe que la responsabilité civile des élus pourrait être engagées alors que ceux-ci ne disposent pas toujours des compétences et des outils pour agir efficacement » complète Jean-Paul Laborde et d’ajouter : « D’un point de vue pénal, la responsabilité de l’élu perd de son importance au profit d’une responsabilité sans faute ». «C’est exactement le modèle vers lequel il faut évoluer » émet l’avocat Jean-Nicolas Robin et Jean-Paul Laborde de compléter : « Dans un souci de clarification,il serait judicieux de légiférer dans ce sens ». Par ailleurs, des évolutions exogènes doivent permettre de renforcer ce continuum. Les préfectures doivent prendre toute la place qui est la leur dans la protection des données personnelles en accompagnant les élus dans leurs démarches. « Il faut absolument que les préfets s’investissent dans cette action. » conclut Jean-Paul Laborde.
« Les GAFAM ont la mainmise sur une large part de nos données et pourtant nous culpabilisons les élus. A titre d’exemple, le maire, disposant des pouvoirs de police, devrait également être autorisé à visionner les plaques dans le cadre du système Lapi », revendique Dominique Legrand, président de l’AN2V. Il déplore un discours à deux vitesses et appelle, lui aussi, à recentrer la place de l’élu.
Conscients de l’exposition des collectivités aux risques cyber, les acteurs privés et publics développent leur partenariat pour consolider la sécurité numérique des collectivités. Dès lors, de nombreuses propositions se font entendre visant à développer ce partenariat et à démocratiser les questions liées au cyber. Les préfectures, encore trop effacées dans ce partenariat, doivent jouer un rôle dans ce collectif impliquant chacun des maillons de la chaîne, afin de donner une impulsion à la dynamique, déjà enclenchée.