Pour le renforcement de la cybersécurité de nos territoires, la transposition de la directive européenne NIS21 marque une étape décisive. Le projet de loi, adopté par le Sénat le 12 mars, pose enfin un cadre ambitieux et cohérent pour protéger nos collectivités et nos entreprises face à des menaces qui ne cessent de croître. En 2024, l'ANSSI2 a traité 4 386 événements de sécurité (12 par jour en moyenne), soit une augmentation de 15 % par rapport à l'année précédente3.
L'ANSSI présente les principales menaces pesant sur les systèmes d'information des collectivités territoriales.
L'Europe impose désormais aux collectivités de plus de 30 000 habitants de renforcer leur niveau de sécurité informatique pour limiter les risques de piratage et d'intrusion. Les plus petites collectivités sont indirectement concernées.
La directive « NIS2 » vise notamment à renforcer la cybersécurité des grandes collectivités territoriales.
Alors que les hôpitaux font régulièrement l'objet de cyberattaques, les Jeux olympiques de Paris pourraient accroître les risques. D'où la nécessité de renforcer la cybersécurité des établissements de santé.
Hameçonnage, rançongiciel et piratage de compte se sont distingués parmi les demandes d'assistance des collectivités et administrations sur la plateforme Cybermalveillance.gouv.fr, en 2023. Pour les collectivités et administrations, comme pour les entreprises et associations, les principales menaces qui les visent continuent donc de gagner en intensité.
Le gouvernement a présenté, mi-décembre, le plan CaRE visant à renforcer la cybersécurité des établissements de santé et médico-sociaux.
Pour aider les petites communes à parer les cyberattaques, les pouvoirs publics ont lancé un vaste diagnostic et leur proposeront des services informatiques sécurisés clé en main, ont indiqué le 6 mars 2023 le ministre du Numérique Jean-Noël Barrot et le patron des cybergendarmes Marc Boget.
Les cyberattaques des hôpitaux de Corbeil-Essonnes et de Versailles ont mis en exergue l'enjeu de la cybersécurité pour les établissements de santé. Le Gouvernement a annoncé fin décembre un plan pour la renforcer. Les hôpitaux peuvent néanmoins déjà prendre des mesures pour l'améliorer. Le point avec Vincent Croisile, expert sécurité à l’ANS, et Emmanuel Sohier, responsable du CERT Santé.
Le nombre de cyberattaques en France a baissé en 2022, mais la gravité des incidents a augmenté et la menace "reste élevée", selon l'agence française de sécurité informatique (Anssi), qui note que le risque se déporte vers les cibles les moins protégées.
Le Gouvernement lance un vaste programme de préparation aux incidents cyber dans les établissements de santé.
L'AMF s'est associée à Cybermalveillance.gouv.fr pour éditer un guide méthodologique destiné à sensibiliser les agents des collectivités à la cybersécurité.
Le ministre délégué à la Transition numérique, Jean-Noël Barrot, a annoncé, mercredi 16 novembre 2022, à Rennes une série de mesures pour créer un "bouclier cyber" à destination notamment des PME et des collectivités, pour une enveloppe de 30 millions d'euros.
Les cyberattaques, souvent assorties de demandes de rançons, visent fréquemment hôpitaux et systèmes de santé dans le monde, dont les données des patients sont bloquées voire divulguées, et des équipements mis hors service.
Les cyberattaques comme celle dont a été victime l'hôpital de Corbeil-Essonnes dans la nuit du samedi 20 au dimanche 21 août 2022, en banlieue parisienne, replongent les établissements dans l'ère pré-informatique et peuvent engendrer de fortes pertes même sans payer la rançon.
La plateforme Cybermalveillance.gouv.fr a lancé début juin 2022 une campagne de prévention à destination des collectivités pour les sensibiliser aux enjeux de la sécurité numérique et les inciter à se prémunir contre la recrudescence des attaques par rançongiciel.
« Comment réagir quand on est cyberattaqué ? ». À Monterblanc, comme dans d'autres communes rurales du Morbihan, des gendarmes sensibilisent les élus aux risques d'attaques informatiques, qui peuvent viser également ces collectivités territoriales très riches en données.
La Cnil, gardienne de la vie privée des internautes en France, s'est mobilisée sur de multiples fronts en 2021, des "cookies" avec d'importantes sanctions prononcées contre les géants du web à la cybersécurité et la souveraineté des données. Une activité intense pour laquelle l'institution demande plus de moyens.
L'ANSSI lance un nouveau dispositif pour développer les produits et services de cybersécurité mutualisés dans les plus petites collectivités, dans le cadre du volet cybersécurité du plan France relance. Les candidatures sont ouvertes jusqu'au 30 juin 2022.
Tout comme les entreprises du secteur privé, la sphère publique s'est engagée dans une transformation numérique indispensable. Celle-ci a d'ailleurs été fortement accélérée par la crise sanitaire toujours en cours.