La cyber-sécurité, un enjeu crucial pour les collectivités
La crise sanitaire a vu à la fois l’accélération de la transformation des pratiques numériques dans le monde du travail et une forte augmentation de la cybercriminalité contre les collectivités locales et les entreprises, comme le souligne le rapport gouvernemental 2020 sur la cybermalveillance. Après le secteur privé, les collectivités publiques sont les plus touchées par les cyber-attaques, notamment par la pratique du rançongiciel, comme le souligne le site Weka dans cet article. Cette pratique très courante, appelée aussi ransomware, consiste en l’envoi à la victime d’un logiciel malveillant qui crypte la totalité de ses données, puis lui demande une rançon en échange du mot de passe pour les déchiffrer. Autre technique très utilisée, l’hameçonnage (ou phishing) qui consiste à envoyer un faux courriel d’apparence légitime, afin de récupérer des coordonnées bancaires ou des identifiants pour escroquer le destinataire. Tous les publics concernés, dans le secteur public comme dans le secteur privé peuvent se tourner vers le site Cybermaveillance.gouv.fr pour y retrouver des ressources et des bonnes pratiques pour lutter contre ces attaques.
Dans le cadre du Plan France Relance, mis en place pendant la crise sanitaire du Covid-19 en soutien à l’économie française, le gouvernement a attribué un budget de 1,7 milliard d’euros à la transformation numérique de l’État et des territoires. Sur cette somme, 136 millions d’euros sont dédiés, sur la période 2021-2022, à un volet cybersécurité et lutte contre la cybermalveillance. C’est dans ce cadre que l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), a mis en place un « parcours de cybersécurité » à destination des acteurs les plus vulnérables à la cybercriminalité.
Son objectif : « Élever substantiellement le niveau de sécurité numérique de l’ensemble des entités au service du citoyen : services publics, acteurs économiques locaux, collectivités territoriales et établissements de santé ». Il s’agit de limiter les impacts économiques et sociaux non négligeables des cyberattaques, en répondant rapidement et efficacement aux demandes des victimes attaquées ou escroquées.
Cybersécurité : Les responsabilités des collectivités territoriales
Soumises à des enjeux de sécurité et de protection des données numériques qu’elles recueillent et utilisent, les collectivités territoriales doivent mettre en place elles-mêmes des mesures de cybersécurité, alors qu’elles sont loin de toutes disposer de moyens humains, notamment d’un responsable de la sécurité des services d’information. Elles n’ont pas toujours la possibilité de se prémunir et de lutter efficacement contre les cyberattaques. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), leur propose à ce sujet une fiche de bonnes pratiques et des recommandations à diffuser au sein de leurs services. En cas de défaillance, les collectivités et leurs représentants (maires, présidents d’établissements publics de coopération intercommunale) pourraient voir leur responsabilité pénale engagée, par exemple en cas de divulgation d’informations privées à des tiers au cours d’une cyberattaque qui résulterait d’un système informatique non protégé. Ce qui explique le souhait de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) de renforcer l’accompagnement et la formation d’équipes dédiée au sein de chaque région en France.
Fonction publique : Créer des centres de réponse cyber d’ici 2024
Outre les parcours cybersécurité créés par l’Agence Nationale de la Sécurité des Systèmes d’Information (l’ANSSI), celle-ci a déployé un programme test pour la création en région de Centres régionaux de réponse aux incidents cyber (CSIRT) avec des équipes spécialement formées sur le sujet. Ces structures auront pour objectif de répondre aux demandes d’aide des acteurs de tailles intermédiaires (PME, associations, collectivités territoriales…) et de les mettre en relation avec des partenaires de proximité.
Sept régions volontaires ont ainsi été choisies dans un premier temps pour accueillir un Centre régional de réponse aux incidents cybers (CSIRT). Il s’agit de la Bourgogne, de la Franche-Comté, du Centre Val-de-Loire, de la Corse, du Grand Est, de la Normandie, de la Nouvelle-Aquitaine et du Sud-Provence-Alpes-Côtes d’Azur. La première session de ce programme d’incubation a démarré en février dernier et la deuxième session se tiendra de septembre à décembre 2022. Les régions volontaires recevront une subvention d’un million d’euros et bénéficieront d’un « accompagnement méthodologique » de six mois. Avec à la clef que ces centres soient rapidement prêts à fonctionner, puis à travailler ensemble.
Pour être retenues, les régions doivent candidater et proposer un projet éligible selon différents critères : le projet doit être porté par le conseil régional, s’inscrire dans un périmètre régional uniquement et sur celui-ci proposer des services minimums à l’ensemble des bénéficiaires de tailles intermédiaires (collectivités territoriales et établissements publics, TPE, PME et associations nationales). Il doit être créé sous un statut juridique adapté, disposer de ressources humaines propres à piloter la structure et d’une comptabilité autonome, et enfin s’engager à rejoindre le réseau l’Inter-CERT-FR.
En effet, l’objectif affiché par l’Agence Nationale de la Sécurité des Systèmes d’Information (l’ANSSI) est que toutes les régions françaises volontaires disposent d’un centre de réponse pleinement opérationnel en 2024, prêt à protéger les collectivités des cyberattaques qu’elles subissent. Ces centres régionaux de réponses, les CSIRT - à terme tous regroupés au sein d’un seul même réseau, l’inter-CERT-FR - auront pour objectif de créer un maillage et de bénéficier de l’expertise de leurs pairs.