« Comment bâtir un environnement numérique de confiance pour les collectivités ? »

Jeudi 17 décembre, à l’invitation de la Banque des Territoires (Groupe Caisse des Dépôts), et de Cybermalveillance.gouv.fr, je suis intervenu en conclusion de leur conférence organisée en visio-conférence sur le thème  « Comment bâtir un environnement numérique de confiance pour les collectivités ? ».

C’est à l’occasion du lancement du guide pratique « pour une collectivité et un territoire numérique de confiance », édité par la Banque des territoires à destination des élus, que cette conférence était organisée.

En effet, comme l’ont très bien précisé Amandine Del Amo de Cybermalveillance.fr et François Charbonnier de la banque des Territoires, « On ne compte hélas plus les exemples de villes dans le monde que des cyberattaques ont momentanément paralysées. En France, ce sont plus de 1200 collectivités qui ont été la cible d’attaques en 2019, selon une enquête de l’association DECLIC. Sans même parler de cyber menaces, le redouté « bug », qui peut être une panne ou une simple maladresse, peut suffire à rendre indisponibles des services numériques à la conception fragile. »

Le contexte de la crise sanitaire actuelle a en outre accéléré cette transition, et rendu cette question de confiance plus urgente encore.

Face à cet enjeu crucial qu’est la confiance numérique, il est donc de la responsabilité de l’élu d’impulser la dynamique qui seule permet à la collectivité de mettre en place un projet cohérent, maîtrisé et sûr.  C’est la raison pour laquelle la Banque des Territoires publie ce guide, pratique et pédagogique, pour accompagner les élus.

Après diverses tables-rondes sur les expériences des élus et les solutions offertes par les différents acteurs de la cybersécurité, où sont intervenus notamment Anne Le Hénanff, première maire adjointe de la Ville de Vannes, Emmanuel Vivé, président de l’association Declic, Jérome Notin, Directeur général – Cybermalveillance.gouv.fr et Jean-Michel Dos Santos, membre du Syntec Numérique, je suis revenu en  conclusion de cet événement sur les diverses réponses apportées au niveau national comme européen.

Le sujet de la confiance numérique est en effet crucial d’une part pour assurer la sécurité des collectivités territoriales et d’autre part pour ancrer sur le long terme la transformation numérique de nos territoires.

Si la sécurité de nos organisations mais aussi la capacité de résilience des acteurs publics est challengé dans le contexte de la crise sanitaire, cette crise a été dans le même temps un formidable accélérateur pour la transformation numérique des territoires. On assiste partout au développement du télétravail et à la dématérialisation croissante de nos services. Face à cette évolution dynamique, la dimension cyber est essentielle pour permettre aux collectivités d’assurer leurs missions, crédibiliser leur démarche et recouvrer ainsi la confiance avec leurs administrés.

Avec Jérôme Notin, à l’occasion d’une réunion de sensibilisation aux risques cyber à la préfecture de Saint-Etienne pour informer et sensibiliser.

Je me réjouis à ce titre de la démarche initiée par la Banque des Territoires et l’ACYMA qui accompagnent de façon croissante les collectivités sur les sujets de cybersécurité. Assistance, mise à disposition de contenus et de formation, mise en relation avec des prestataires ou action directe, voilà la posture que doivent adopter les acteurs publics vis-à-vis des territoires si nous voulons réussir à faire de la sécurité des collectivités « une priorité de 2021 », pour reprendre l’expression de Guillaume Poupard.

  1. Revenons tout d’abord sur les défis auxquels sont confrontés les collectivités territoriales pour rétablir de la confiance numérique sur leur territoire.

Le 14 mars 2020 les villes de Marseille et de Martigues ainsi que la Métropole Aix-Marseille-Provence ont été les cibles d’une attaque informatique se présentant sous l’apparence de rançongiciels. Plus récemment, la ville de Vincennes a annoncé avoir été victime d’une cyberattaque. D’une manière générale, l’ANSSI alerte sur l’importance croissante des menaces cyber au niveau local et appelle les collectivités territoriales à se prémunir contre ces attaques.

Selon un récent rapport du Clusif, le Club de la sécurité de l’information français [1]:

  • 30% des collectivités territoriales affirment avoir déjà été touchées par une cyberattaque de type ransomware et 53% d’entre elles ne communiquent pas sur de telles attaques.
  • Seules 35% des collectivités territoriales chiffrent leurs données pour les sécuriser et 75% d’entre elles ne disposent pas de plan de gestion de crise en cas d’attaque cyber.

Sans surprise, « seuls 49% des fonctionnaires territoriaux estiment que leur administration a correctement évalué l’importance des enjeux de cybersécurité »[2] souligne la Fondation pour la recherche stratégique.

Les raisons qui expliquent que le secteur local rencontre de telles difficultés pour s’approprier les enjeux cyber sont multiples.

  • Notre organisation territoriale à plusieurs niveaux est un facteur de complexité ;
  • Les effectifs consacrés à la sécurité des SI sont souvent insuffisants pour deux raisons d’une part le manque de moyens alloués d’autre part la difficulté à recruter les profils recherchés ;
  • Les vulnérabilités ne sont pas les mêmes de manière homogène : les collectivités de petites tailles n’ont pas les moyens nécessaires or 100% des petites municipalités interrogées par l’Association pour les petites villes de France (APVF) ont fait l’objet d’une attaque informatique ces dernières années ;
  • En effet les petites structures souffrent d’une manière générale de deux problèmes en matière de cybersécurité : le manque de sensibilisation et l’impossibilité d’internaliser la compétence en cybersécurité ;
  • Ce manque de sensibilisation implique deux soucis majeurs. D’une part il empêche de mettre en place des méthodes simples d’hygiène informatique et, d’autre part, il freine fortement le développement d’offre de cyber sécurité adaptée la demande étant encore potentiellement faible par rapport au nombre de clients. Enfin un troisième problème est le prix des solutions de cyber sécurité qui reste aujourd’hui très élevé.

Les collectivités, et particulièrement les plus petites d’entre elles, sont donc particulièrement démunies face à la menace cyber.

Cette menace est, comme vous l’avez rappelé, multidimensionnelle :

  • Le risque de cyberattaques ou actes de cyber-malveillance ;
  • Le risque de dysfonctionnements non intensionnels ;
  • Le risque d’atteintes indirectes pouvant être subies par les collectivités.

Elle présente des risques conséquents pour les acteurs locaux. Une attaque informatique perturbe le fonctionnement de la collectivité, la désorganise et peut mettre en danger ses administrés. Elle altère à long terme la confiance des citoyens à l’égard de leurs élus et la réputation de la collectivité.

C’est donc un double défi que doivent remporter, avec notre aide, les acteurs locaux :

  • D’une part minimiser les risques de dysfonctionnement ;
  • D’autre part atténuer la gravité de la menace en cas d’attaque.

Plus largement, et pour reprendre les termes du guide pratique que vous nous présentez aujourd’hui, il s’agit de « rétablir la confiance dans le numérique ».

Cela nécessite des solutions numériques fiables et pérennes associés à une gestion maîtrisée des systèmes, des données et des identités. A nous, pour cela, de vous aider.

2. Un certain nombre de réponses sont apportées au niveau national et européen pour soutenir les collectivités dans leur démarche cyber et pourront être approfondie. 

Des mesures ont été progressivement mises en œuvre au niveau national pour apporter un appui aux territoires en matière de cybersécurité.

Tout d’abord, un effort conséquent a été fait pour permettre aux collectivités d’adapter leurs systèmes d’information aux exigences cyber :

  • Le GIP ACYMA apporte une assistance aux collectivités en leur offrant des contenus pédagogiques sur la cybersécurité ainsi qu’en mettant à leur disposition une plateforme de mise en relation avec des prestataires capables de les aider à répondre aux incidents cyber.
  • La Direction interministérielle du numérique a, au travers de son programme dédié à l’administration numérique territoriale, valorisé auprès des collectivités territoriales les actions SSI présentes dans l’offre de services de l’État.
  • La Revue stratégie de cyberdéfense comporte trois recommandations qui concernent les territoires (2018) :

– Encourager la mutualisation des ressources des collectivités

– Favoriser la communication en matière de sécurité numérique

– Favoriser le développement d’une offre adaptée de produits et de services

  • Les délégués de l’ANSSI présents en région sont chargés de relayer et de coordonner son action dans les territoires ainsi que de contribuer à associer les acteurs territoriaux au dispositif national de cybersécurité.
  • Enfin, des outils et ressources ont été rendues accessibles pour faciliter l’appropriation des enjeux cyber dans les territoires. La publication du guide que vous avez présenté ce matin le démontre parfaitement.

Les annonces faites ce matin confirment cette volonté d’accompagner les collectivités pour qu’elles réussissent à mettre en place une vraie politique de confiance numérique au plus près de leurs territoires.

Nous devons aujourd’hui en effet aller plus loin pour répondre aux grands défis qui se posent dans le champ de la cybersécurité, et l’Europe sera en cela une alliée de poids.

Plusieurs enjeux de taille se posent aujourd’hui aux collectivités territoriales en matière de cybersécurité :

  • Le défi de la mutualisation des ressources et des compétences ;
  • La question de la standardisation et de l’interopérabilité des données;
  • La formation des élus, des cadres et des agents de la fonction publique territoriale.

Les territoires doivent aussi anticiper les futures évolutions technologiques qui seront sources de davantage de tension sur la sécurité de nos systèmes d’information : la 5G et les objets connectés qui soulèvent de nouveaux enjeux de sécurisation des données, des services, des infrastructures et des communications ; l’intelligence artificielle, dont le déploiement rend d’autant plus difficile la détection des cyberattaques et des dysfonctionnements.

Dans ce cadre, des réponses seront apportées au niveau national et par nos partenaires européens :

  • Le Secrétaire d’État au numérique présentera dans la deuxième quinzaine de janvier sa feuille de route cyber. Elle s’articulera autour de quatre points :

✅ Le financement de l’innovation et de la recherche ;

✅  La fédération de l’écosystème autour du Campus Cyber qui doit ouvrir des portes en janvier prochain à la Défense ;

✅  La sensibilisation et l’alerte du grands publics aux enjeux de la cyber à travers une campagne de communication ;

✅ Et surtout, le déploiement de formation à destination des élus et des professionnels.

  • La Commission publiera la semaine prochaine sa stratégie en matière de cybersécurité. La poursuite de ses travaux sur la sécurité des réseaux 5G est d’ores et déjà annoncé de même que l’introduction de nouvelles règles sur les produits connectés.

Protéger et renouer avec les Français sera toujours la première mission des pouvoirs publics.

[1] https://clusif.fr/publications/restitution-de-letude-mips-2020-collectivites/ publication 30 juin 2020.

[2] « Cybersécurité et résilience : les grandes oubliées des territoires » par Olivier Kempf chercheur associé dans Fondation pour la recherche stratégique Note n°39/20 https://www.frstrategie.org/publications/notes/cybersecurite-resilience-grandes-oubliees-territoires-2020

📌 20-174-Guide Confiance mis en page version WEB