Les collectivités se préoccupent encore peu de cybersécurité, selon le Clusif

Administration

L’étude biennale 2020 du Clusif (MIPS 2020) montre que dans les collectivités territoriales, la sécurité des systèmes d’information s’améliore lentement. Toutefois, elles semblent ne pas prendre la mesure de l’importance des enjeux liés à la cybercriminalité.

Si la sécurité des systèmes d’information (SSI) des collectivités tend à s’améliorer, elle « n’est pas encore l’affaire de tous et les moyens tant humains que financiers ne sont pas la plupart du temps à la hauteur des enjeux », estime le Clusif dans son étude sur les menaces informatiques et les pratiques de sécurité 2020 (MIPS 2020). Selon cette troisième étude dédiée aux collectivités territoriales (après celles de 2012 et 2016), plus d’une collectivité sur deux a désormais une politique de sécurité de l’information (PSI), contre un peu plus d’une sur trois en 2016. L’entrée en vigueur de la nouvelle réglementation européenne sur la protection des données (RGPD), en mai 2016, a renforcé pour les collectivités l’obligation d’améliorer la cybersécurité avec laquelle elles s’estiment aujourd’hui en conformité totale (34 %) ou partielle (59 %). Le RGPD impose notamment de désigner un délégué à la protection des données (DPD ou DPO) ; alors que 75 % des collectivités l’ont déjà nommé, 10 % ont seulement entamé la démarche. Un rôle principalement rattaché à la direction générale (51 %), parfois externalisé (19 %) ou encore mutualisé, dans les communautés d’agglomération par exemple.

Plus de la moitié des collectivités connaissent la fonction de responsable de la sécurité des systèmes d’information (RSSI) — elles étaient 35 % en 2016. Le RSSI occupe une mission dédiée dans 59 % des cas (40 % en 2016). Dans les EPCI, absents des enquêtes précédentes, tout dépend de la taille de la structure ; ainsi, les communautés de communes n’ont généralement pas les moyens de détacher une personne à la fonction de RSSI. Le RSSI peut être rattaché à la direction des systèmes d’information – DSI (23 %) ou à la direction générale des services (59 %). La fonction de RSSI est souvent aussi cumulée avec celles de DSI (42 %), en majorité dans les intercommunalités et les conseils territoriaux, ou de responsable informatique (37 %), généralement dans les communes, tandis que 20 % sont des consultants externes. Le RSSI se trouve donc souvent « juge et partie ».

La taille des collectivités influence encore beaucoup la prise en compte de la cybersécurité (difficile à appréhender par les communautés de communes). Alors qu’elles sont désormais victimes d’attaques par rançongiciels (30 % des conseils territoriaux et des villes impactés), les collectivités ont tendance à sous-évaluer le risque lié à l’absence de cybersécurité : plus d’une sur six l’estiment faible. « Étant donné l’absence de capitalisation sur les incidents, la formalisation de la gestion de crise cyber est très faible et inférieure aux pratiques observées en entreprise », précise d’ailleurs le Clusif. Une collectivité sur quatre seulement met en œuvre des plans de conduite ou de reprise d’activité, dont peu testent la mise en pratique.

Le budget alloué à la cybersécurité est la plupart du temps remis en cause d’une année sur l’autre – seule une collectivité sur dix le « sanctuarise ». Mais il est malgré tout en augmentation par rapport à la précédente étude, ce qui montre une certaine prise de conscience. En effet, depuis 2016, des cyberattaques d’ampleur mondiale ont été médiatisées et la réglementation a évolué : RGPD, obligations de cybersécurité liées à la loi de programmation militaire pour les collectivités désignées opérateur d’importance vitale (OIV)…

Sauf dans les communautés de communes, les collectivités adoptent souvent des chartes d’usage des systèmes d’information et des procédures de gestion des accès. Les méthodes d’authentification forte tendent à s’homogénéiser et les droits d’accès sont de mieux en mieux gérés ; 68 % des collectivités ont créé des procédures, notamment pour les administrateurs et 65 % ont des politiques de mot de passe.

Quant à la sûreté, elle progresse nettement, avec des dispositifs de contrôle d’accès et de vidéosurveillance combinés à l’accueil physique. La protection des données elle aussi s’améliore ; elles sont de plus en plus stockées sur des supports physiques amovibles.

Marie Gasnier

Voir aussi :

Posté le par

Recommander cet article