L'analyse des spécialistes

Cybersécurité : les obligations des collectivités ?

Administration

Sous peine de voir leur responsabilité engagée en cas de dommages liés à une cyber-attaque, les collectivités territoriales sont tenues d’implémenter des mesures destinées à sécuriser leur système d’information en se basant au premier chef sur le référentiel général de sécurité (RGS) et/ou sur les recommandations émises par l’ANSSI tout en veillant à se conformer à la réglementation « Informatique et Libertés ».

Diane Mullenex, Cabinet Pinsent MasonsDiane MULLENEX Guillaume_Morat-cabinet-Pinsent-MasonsGuillaume MORAT

Des recommandations visant à garantir la sécurité des systèmes d’information

Dans le contexte de la multiplication des cyberattaques de sites web administrés par des collectivités territoriales depuis le début de l’année, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a décidé de publier une fiche des bonnes pratiques en cybersécurité qui s’adresse en particulier aux collectivités territoriales – qu’il s’agisse notamment des communes, des établissements publics de structure communale, des établissements publics locaux, des départements, des régions, ou des collectivités d’outre mer – qui sont susceptibles de disposer de leur propre système d’information mais qui ne disposent pas nécessairement des moyens ou tout simplement des réflexes nécessaires pour se prémunir et lutter efficacement contre les cyberattaques.

Ainsi, les communes qui sont d’ailleurs susceptibles de détenir des informations particulièrement sensibles concernant leurs administrés ne sont-elles pas légions à disposer d’un responsable de la sécurité des systèmes d’information (RSSI) dont le rôle ne se limite pas seulement à l’échelon technique mais requiert également des compétences plurielles au niveau architecturel, organisationnel, juridique et, bien évidemment, un sens aigu de conduite du changement1.

Ces recommandations viennent compléter les « objectifs de cybersécurité » mis en place l’année dernière par l’ANSSI dans le cadre du plan « Vigipirate » et qui sont destinés principalement aux collectivités afin de sécuriser leur système d’information.

Parmi les attaques informatiques recensées, l’ANSSI constate que celles-ci prennent la forme tantôt de « défigurations/défacement » de sites web – qui consistent à modifier l’apparence ou le contenu d’un serveur en y associant le cas échéant un message, une image voire une revendication – tantôt d’attaques par « dénis de services » qui consistent à rendre indisponible un site web notamment en multipliant les requêtes sur un serveur.

Les collectivités territoriales, responsables de la sécurité de leurs systèmes d’information

À l’instar des personnes morales de droit privé, il n’est pas à exclure que les collectivités territoriales puissent – voir leur responsabilité pénale engagée devant les juridictions répressives sur le fondement de l’article 121-2, alinéa 2 du Code pénal, par exemple, pour les dommages causés à autrui par l’intermédiaire d’un système d’information non sécurisé2.

De même, les collectivités territoriales sont soumises au référentiel général de sécurité (RGS)3 – dont la version 2.0 été publiée au mois de juin 20144 – qui constitue un référentiel qui est notamment destiné à sécuriser les échanges électroniques issus de la « sphère publique » en garantissant que le niveau de sécurité de ces systèmes d’information est bien adapté aux enjeux et aux risques encourus.

Par ailleurs, les collectivités territoriales sont amenées à traiter, dans le cadre de leur mission de service public, des données à caractère personnel au sens de la réglementation « Informatique et Libertés »5. Au titre de l’obligation de sécurité, les collectivités doivent notamment veiller à ce que ces données ne fassent pas l’objet d’une divulgation à des tiers (sauf si la loi l’autorise expressément)6.

En tant que responsable de traitement, les représentants des collectivités territoriales (maires, présidents d’établissements publics de coopération intercommunale, etc.) peuvent ainsi voir leur responsabilité pénale engagée en cas de divulgation des données à la suite d’une cyberattaque résultant d’un système non sécurisé.

Pour l’ensemble de ces raisons et compte tenu du degré d’exposition aux risques, les collectivités territoriales sont donc non seulement tenues d’implémenter des mesures destinées à sécuriser leur système d’information – en se basant notamment sur le RGS – mais elles ont également grandement intérêt à distiller en leur sein une véritable « culture » de la sécurité des systèmes d’information.

 

par Diane Mullenex, associée et Guillaume Morat, avocats du Cabinet Pinsent Masons


1. Compte tenu de la complexité des risques encourus et des problématiques suscitées, il est d’ailleurs fréquent au sein des entreprises que les RSSI ne soient plus rattachés directement à la direction des systèmes d’information (DSI) mais directement à la direction générale (DG).
2. Conformément à l’article 121-2, alinéa 2 du Code pénal, « les collectivités territoriales et leurs groupements ne sont responsables pénalement que des infractions commises dans l’exercice d’activités susceptibles de faire l’objet de conventions de délégation de service public ».
3. Ordonnance  n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives
Décret n°  2010-112 du 2 février 2010 pris pour l’application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives
4. Arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques
5. Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés
6. Pour plus d’informations : http://www.cnil.fr/les-themes/collectivites-locales/

Posté le par Diane Mullenex et Guillaume Morat

Recommander cet article

Réagissez à cet article sur le forum