Cybersécurité : les collectivités doivent se préparer à renforcer la prévention

Publié le 3 décembre 2024 à 14h00 - par

L’Europe impose désormais aux collectivités de plus de 30 000 habitants de renforcer leur niveau de sécurité informatique pour limiter les risques de piratage et d’intrusion. Les plus petites collectivités sont indirectement concernées.

Cybersécurité : les collectivités doivent se préparer à renforcer la prévention
© Par kras99 - stock.adobe.com

Cet article fait partie du dossier :

Cybersécurité et sécurité numérique, de nouveaux enjeux pour les décideurs publics
Cybersécurité et sécurité numérique, de nouveaux enjeux pour les décideurs publics
Voir le dossier

Mieux vaut s’y préparer… Depuis le 17 octobre 2024, de nouvelles mesures de cybersécurité s’appliquent dans l’Union européenne. À cette date, la directive sur la cybersécurité NIS 2 aurait dû être transposée dans l’ensemble des pays européens, mais seuls trois d’entre eux ont respecté l’échéance. Pour cause de dissolution de l’Assemblée nationale, la France fait partie des mauvais élèves. Le projet de loi de transposition de la directive n’a été présenté en Conseil des ministres que le 15 octobre 2024, mais pour autant, les règles européennes sont en vigueur.

Les collectivités de plus de 30 000 habitants, classées comme entités essentielles – EE – ou importantes – EI – (cf. encadré) devront s’y conformer en adaptant leurs process et leurs systèmes d’information, sous peine de sanctions. Soit, potentiellement, près de 2 500 collectivités, groupements et établissements rattachés*, a indiqué François Dégez, chef de la division coordination territoriale, à la sous-direction stratégie de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le 27 novembre 2024 au colloque Trip organisé à Paris par l’Avicca. S’adapter est impératif car, explique François Dégez, « les collectivités sont sur-représentées dans les victimes ». Elles ont fait l’objet d’un quart des attaques par « rançongiciel » (demande de rançon) en 2023 et ont signalé 187 incidents à l’ANSSI entre janvier 2022 et juin 2023 – soit 17 % de l’ensemble des incidents traités par l’Agence pendant cette période.

D’après Damien Michallet, sénateur de l’Isère et président de la Commission supérieure du numérique et des postes (CSNP), les petites collectivités seront elles aussi indirectement touchées par la directive, en raison des liens avec leur interco et des services mutualisés dont elles bénéficient. Il estime même que les communes de quelques centaines d’habitants pourraient être éligibles aux nouvelles contraintes, lorsqu’elles gèrent l’eau ou les déchets, par exemple.

En tout état de cause, « NIS 2 doit être considéré comme une opportunité pour renforcer le niveau de cybersécurité des collectivités et des entreprises sans alourdir les obligations », a expliqué le président de la CSNP, dont les membres ont rendu un avis sur le projet de loi de transposition le 21 mai 2024. L’avis recommande en particulier d’organiser une campagne de communication et de sensibilisation, la très grande majorité des entités concernées par le texte n’étant pas au courant des nouvelles mesures qui leur incombent. La CSNP préconise qu’un dispositif financier et technique accompagne les collectivités qui en auraient besoin pour se mettre en conformité, en s’appuyant sur l’ANSSI et sur les préfectures. Il conviendrait aussi de former les élus et les équipes techniques aux enjeux cyber, d’adapter les actions à la taille des entités et de les mutualiser.

Vérifier son éligibilité

La CSNP conseille aussi une montée en puissance du dispositif www.cybermalveillance.gouv.fr et prône d’alléger l’aspect administratif, en créant un seul guichet de déclaration d’incidents et en proposant des formulaires de déclaration simples.

François Dégez a expliqué le 27 novembre 2024 que, « dans la mesure où le risque touche tous les territoires, l’ANSSI a choisi d’implanter un ou deux délégués régionaux de haut vol » pour faciliter le développement de la cyber-résilience dans les territoires, depuis octobre 2022. Insuffisant, selon les membres de la CSNP qui recommandent de renforcer la présence de l’ANSSI en région.

Le 17 avril 2025, les États membres devront transmettre à l’Union européenne la liste des entités concernées. « Il faudra appliquer strictement la directive. Les parlementaires s’assureront que c’est une transposition stricte, et non un énième truc qui vient de Bruxelles », a prévenu le sénateur de l’Isère. Les collectivités peuvent vérifier leur éligibilité à la directive sur le site de l’Anssi.

Martine Courgnaud – Del Ry

* 1 489 collectivités territoriales et 992 communautés de communes en métropole et Outre-mer

Selon une étude dévoilée par Cybermalveillance.gouv.fr le 17 novembre 2024, 77 % des élus et agents indiquent dépenser moins de 2 000 euros pour la cybersécurité. Seules 10 % des collectivités devraient augmenter leur budget sécurité informatique l’an prochain, mais cette hausse ne concernerait que 5 % des communes de moins de 1 000 habitants.

 

Entités essentielles ou importantes

La directive NIS 2 du 22 décembre 2022 renforce le niveau commun de cybersécurité des États membres. Alors que la précédente directive de juillet 2016 (Network and Information Security – NIS 1) touchait seulement 600 entités françaises, le nouveau texte en concernera environ 15 000. NIS 2 distingue deux catégories d’entités régulées, selon leur « criticité », leur taille et leur chiffre d’affaires : les entités essentielles (EE) et les entités importantes (EI). Chacune devra fournir des informations à l’ANSSI, mettre en place des mesures de gestion des risques adaptées, et déclarer ses incidents de sécurité. Sous peine de sanctions financières en cas de manquement.


On vous accompagne

Retrouvez les dernières fiches sur la thématique « Institutions et administration territoriale »

Voir toutes les ressources numériques Institutions et administration territoriale