Plus d’1 collectivité sur 10 a déjà été la cible de cyberattaques, selon une étude du Clusif de 2023. Cela souligne l’attrait des attaquants pour ce type de cible et la vulnérabilité de nos institutions locales face à des menaces numériques grandissantes. Ce constat appelle à une prise de conscience collective et à l’élaboration d’une gouvernance et de mesures pour sécuriser les données sensibles. Il s’agit d’assurer la résilience des services essentiels que ces collectivités fournissent à leurs administrés.
Le gouvernement a notamment lancé en 2020, le plan France Relance avec un volet cybersécurité, d’un budget de 136 M€ pour 630 parcours pluriannuels, afin de renforcer la résilience des collectivités territoriales et autres organismes publics.
Le cadre réglementaire, en constante évolution, vise à structurer les démarches de cyberdéfense par une normalisation des actions et des objectifs afin de renforcer la résilience des systèmes d'information territoriaux.
Ainsi, l'objectif est double : protéger les données des administrés et préserver leur confiance dans les services publics, tout en assurant la continuité des opérations en cas d'incident de sécurité.
Quels sont les enjeux en matière de cybersécurité et les conséquences des cyberattaques pour les collectivités ?
Les collectivités territoriales de toutes tailles se retrouvent confrontées à un défi majeur en matière de cybersécurité. Les enjeux sont de plusieurs ordre :
- Protection des citoyens et de leur intégrité ;
- Continuité des services publics mis à disposition des administrés ;
- Prévention des attaques visant à perturber les collectivités ;
- Gestion des incidents de sécurité pour minimiser l'impact des attaques.
La cybermenace présente un double impact sur les collectivités :
-
Les impacts directs tels que le vol ou le chiffrement de données sensibles et l'interruption prolongée des services administratifs, qui peuvent s'étendre sur plusieurs jours/semaines paralysant ainsi l'administration et les services, constituent une menace sérieuse à l'efficacité de l'action publique et la protection des informations des administrés. Ces interruptions
-
Les impacts indirects viennent accentuer la gravité de la situation. Les surcoûts financiers nécessaires à rétablir les services après une attaque peuvent s'avérer exorbitants. Les conséquences juridiques, liées à la perte ou à la compromission de données, peuvent engendrer des litiges et des sanctions aggravant encore le bilan des incidents. Enfin, cela peut aussi impacter l’image de la collectivité et la confiance des utilisateurs.
Adaptation et renforcement du cadre réglementaire en cybersécurité pour les collectivités
Face à cette situation, le cadre réglementaire évolue.
De la confiance numérique à la protection des données personnelles
En mai 2010, le référentiel général de sécurité (RGS), révisé en 2014, a établi les fondations de la confiance numérique pour les téléservices et au sein de l’administration française. Cette initiative précoce a été complétée en décembre 2013 par la Loi de Programmation Militaire (LPM) permettant d’augmenter de façon significative le niveau de maturité cyber et la résilience des services d’importance vitale (OIV) .
Vers une harmonisation de la réglementation européenne
En avril 2016, le Règlement général sur la protection des données (RGPD) (entré en vigueur en mai 2018) a responsabilisé tant les acteurs publics que privés dans la protection des données personnelles.
Peu de temps après, la directive Network and Information Security (NIS) de juillet 2016 a renforcé la sécurité des réseaux et des informations au sein de l’Union européenne, ciblant spécifiquement les services essentiels. Celle-ci à encore évoluer cette année (NIS 2) et aura un impact sur les collectivités territoriales en renforçant encore les exigences de cybersécurité tant sur la gouvernance que sur les mesures techniques. Cette directive doit être transposée en droit Français avant le 17 octobre 2024.
L’Open data et la protection des données personnelles
La loi pour une République numérique (LRN) d’octobre 2016 a introduit des mesures encourageant l’Open data, tout en alignant la législation française sur le RGPD concernant la protection des données personnelles.
Cette loi a pour objectif de renforcer la confiance des utilisateurs dans les services numériques, assurer la protection des données et des infrastructures d’hébergement et sécuriser davantage les activités critiques et les services essentiels.
Implémentation des dispositions réglementaires : un cadre pour la sécurité numérique
Ces mesures générales, essentielles à la protection des téléservices, des données personnelles, et des systèmes d’information vitaux, s’articulent autour de plusieurs axes clés.
Pour les téléservices – conformément au Référentiel Général de Sécurité (RGS) :
- La réalisation d'une analyse de risques approfondie pour identifier et contrer les menaces potentielles, avec la mise en place de mesures de sécurité adéquates ;
- L'homologation de sécurité du téléservice pour garantir sa conformité aux standards de sécurité établis ;
- L'adoption d'une approche de suivi opérationnel et d'amélioration continue.
Pour la protection des données personnelles – en accord avec le RGPD :
- La nomination d'un délégué à la protection des données ;
- L'établissement d'un registre des traitements effectués ;
- La réalisation d'analyses d'impact sur la protection des données pour les traitements susceptibles de présenter des risques élevés ;
- L'intégration de clauses spécifiques de protection des données personnelles dans les contrats avec fournisseurs et sous-traitants ;
- La notification des violations de données personnelles.
Pour les systèmes d’information d’importance vitale ou essentiels – selon la Loi de Programmation Militaire (LPM) & la Directive sur la Sécurité des Réseaux et des Systèmes d’Information (NIS/NIS2) :
- La définition d'une politique de sécurité des systèmes d'information ;
- La cartographie des systèmes d'information ;
- L'analyse de risques dédiée aux activités vitales ou essentielles ;
- L'homologation des systèmes d'information ;
- La réalisation d'audits de sécurité.
Face à la recrudescence constante des cyberattaques, la réponse des collectivités doit être à la hauteur des enjeux : une stratégie de cybersécurité centrée sur la protection des données, des services, et des infrastructures critiques.
Ressources et lectures :
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/etude-cybersecurite-collectivites-moins-de-25000-habitants
https://www.amf.asso.fr/documents-cybersecurite-outils-pour-proteger-les-collectivites/41504
https://www.algosecure.fr/conseil/france-relance
À propos : Le blog d'AlgoSecure est un espace sur lequel notre équipe toute entière peut s'exprimer. Notre personnel marketing et commercial vous donne des informations sur la vie et l'évolution de notre société spécialisée en sécurité sur Lyon. Nos consultants techniques, entre deux tests d'intrusion ou analyses de risque, vous donnent leur avis ainsi que des détails techniques sur l'exploitation d'une faille de sécurité informatique. Ils vous expliqueront également comment sécuriser votre système d'informations ou vos usages informatiques particuliers, avec autant de méthodologie et de pédagogie que possible. Vous souhaitez retrouver sur ce blog des informations spécifiques sur certains sujets techniques ? N'hésitez pas à nous en faire part via notre formulaire de contact, nous lirons vos idées avec attention. Laissez-vous guider par nos rédacteurs : Alexandre, Amine, Antonin, Arnaud, Benjamin, Enzo, Fabien, Françoise, Gilles, Jean-Charles, Jean-Philippe, Jonathan, Joël, Joëlie, Julien, Jéromine, Ludovic, Lyse, Nancy, Natacha, Nicolas, Pierre, PierreG, Sébastien, Yann, et bonne visite !