Pourquoi les collectivites territoriales sont des cibles privilegiees
Les collectivites territoriales figurent parmi les cibles les plus frequentes des cyberattaques en France. L’ANSSI recense chaque annee des centaines d’incidents touchant des communes, des intercommunalites, des departements et des regions. Les raisons de cette exposition sont multiples : systemes d’information souvent vieillissants, budgets informatiques limites, multiplicite des applications metier, sensibilisation insuffisante des agents et surface d’attaque elargie par la dematerialisation des services publics.
Les consequences d’une cyberattaque contre une collectivite sont particulierement graves. Au-dela de la paralysie des services publics, c’est la confidentialite des donnees personnelles de milliers d’habitants et d’agents qui est menacee. Les rancongiciels (ransomwares) chiffrent les fichiers et exigent une rancon, tandis que les attaques par exfiltration de donnees exposent des informations sensibles sur le dark web.
L’obligation de securite prevue par le RGPD
L’article 32 du RGPD impose au responsable de traitement de mettre en oeuvre les mesures techniques et organisationnelles appropriees pour garantir un niveau de securite adapte au risque. Cette obligation s’applique pleinement aux collectivites territoriales pour l’ensemble de leurs traitements de donnees personnelles.
Les mesures de securite doivent etre proportionnees a la nature des donnees traitees, aux risques identifies et a l’etat de l’art. Pour les collectivites, cela implique notamment le chiffrement des donnees sensibles, la mise en place de sauvegardes regulieres et testees, le controle des acces par authentification forte, la segmentation des reseaux, la mise a jour reguliere des systemes et des logiciels et la journalisation des evenements de securite.
Les principales menaces pesant sur les collectivites
Le rancongiciel reste la menace numero un. L’attaquant penetre le systeme d’information, generalement par un courriel de hameconnage (phishing), chiffre les donnees et reclame une rancon en cryptomonnaie. De nombreuses collectivites ont ete paralysees pendant des semaines, obligees de revenir au papier pour assurer la continuite du service public.
L’hameconnage cible les agents territoriaux par des courriels frauduleux imitant des organismes officiels : prefectures, tresoreries, CNRACL, services des impots. Un clic sur un lien ou une piece jointe pieges suffit a compromettre l’ensemble du systeme d’information.
Les attaques par deni de service (DDoS) visent a rendre inaccessibles les sites web et les teleservices des collectivites. Si ces attaques ne compromettent pas directement les donnees, elles perturbent les services aux usagers et peuvent masquer une intrusion simultanee.
Les compromissions de comptes resultent du vol ou de la reutilisation de mots de passe. Lorsqu’un agent utilise le meme mot de passe pour sa messagerie professionnelle et un service personnel compromis, l’attaquant peut acceder au systeme d’information de la collectivite.
Le plan de securite des systemes d’information
Chaque collectivite devrait disposer d’une politique de securite des systemes d’information (PSSI) formalisee. Ce document cadre definit les regles de securite applicables a l’ensemble du systeme d’information : classification des donnees, gestion des acces, politique de mots de passe, regles d’utilisation des equipements, procedure de gestion des incidents.
L’ANSSI propose un guide specifique pour les collectivites territoriales qui detaille les mesures essentielles a mettre en oeuvre en fonction de la taille et des moyens de la collectivite. Ce guide recommande une approche progressive, en commencant par les mesures les plus efficaces et les moins couteuses.
Le plan de continuite d’activite (PCA) et le plan de reprise d’activite (PRA) completent la PSSI. Ils definissent les procedures a suivre en cas d’incident majeur pour maintenir les services essentiels et restaurer le systeme d’information dans les meilleurs delais.
La gestion des violations de donnees
L’article 33 du RGPD impose au responsable de traitement de notifier toute violation de donnees personnelles a la CNIL dans un delai de 72 heures apres en avoir pris connaissance. Si la violation est susceptible d’engendrer un risque eleve pour les droits et libertes des personnes, celles-ci doivent egalement etre informees individuellement.
La collectivite doit mettre en place une procedure de gestion des violations qui couvre la detection rapide des incidents grace a des outils de supervision, la qualification de l’incident et l’evaluation de sa gravite, la notification a la CNIL via le teleservice dedie, la communication aux personnes concernees si necessaire, les mesures correctives pour limiter l’impact et eviter la recurrence et la documentation de l’incident dans un registre interne des violations.
Le DPO de la collectivite joue un role central dans la gestion des violations. Il coordonne la reponse, conseille la direction sur les obligations de notification et veille a la documentation de l’incident.
La sensibilisation des agents territoriaux
Le facteur humain reste le maillon faible de la cybersecurite. La majorite des incidents trouvent leur origine dans une erreur humaine : clic sur un lien de phishing, utilisation d’un mot de passe faible, connexion d’une cle USB non verifiee, envoi d’un courriel a un mauvais destinataire.
La collectivite doit mettre en place un programme de sensibilisation continue adapte aux differents profils d’agents. Ce programme peut comprendre des sessions de formation en presentiel ou en ligne, des campagnes de simulation de phishing pour tester les reflexes, des affiches et guides de bonnes pratiques dans les locaux, des rappels reguliers par courriel sur les menaces du moment et des exercices de gestion de crise cyber.
La sensibilisation doit concerner tous les niveaux hierarchiques, y compris les elus et les membres de la direction. Les attaquants ciblent souvent les personnes disposant de privileges eleves, une technique appelee « spear phishing » ou hameconnage cible.
Le role du DPO dans la cybersecurite
Le DPO de la collectivite n’est pas responsable de la securite informatique, qui releve du RSSI ou du responsable informatique. Cependant, il joue un role complementaire essentiel. Il veille a ce que les mesures de securite soient proportionnees aux risques identifies dans les analyses d’impact, il participe a la gestion des violations de donnees et il sensibilise les agents aux enjeux de protection des donnees.
La collaboration entre le DPO et le RSSI (ou le responsable informatique) est indispensable. Le DPO apporte la vision reglementaire et le RSSI la vision technique. Ensemble, ils definissent les priorites de securite en fonction des risques pour les donnees personnelles.
Les prestataires et la chaine de sous-traitance
Les collectivites font appel a de nombreux prestataires informatiques : editeurs de logiciels metier, hebergeurs, prestataires de maintenance, integrateurs. Chaque prestataire ayant acces aux donnees personnelles doit etre lie par un contrat conforme a l’article 28 du RGPD, qui impose des obligations de securite et de confidentialite.
La collectivite doit evaluer le niveau de securite de ses prestataires avant de leur confier des donnees personnelles. Cette evaluation peut prendre la forme d’un questionnaire de securite, d’un audit ou de la verification de certifications (ISO 27001, HDS pour les donnees de sante, SecNumCloud pour l’hebergement).
La chaine de sous-traitance doit etre maitrisee. Si le prestataire de la collectivite fait lui-meme appel a des sous-traitants, la collectivite doit en etre informee et donner son autorisation. La responsabilite de la collectivite en tant que responsable de traitement ne disparait pas du fait de l’externalisation.
Les financements disponibles pour la cybersecurite des collectivites
Plusieurs dispositifs permettent aux collectivites de financer leur mise a niveau en cybersecurite. Le plan France Relance a consacre une enveloppe specifique a la securisation des systemes d’information des collectivites, geree par l’ANSSI. Des appels a projets regionaux et nationaux completent ces financements.
L’ANSSI propose egalement un accompagnement gratuit aux collectivites les plus exposees, incluant des audits de securite, des recommandations personnalisees et un soutien en cas d’incident. Les centres de gestion departementaux et les syndicats mixtes informatiques peuvent mutualiser les moyens de cybersecurite entre plusieurs collectivites.
Les bonnes pratiques essentielles
La cybersecurite repose sur des fondamentaux que chaque collectivite, quelle que soit sa taille, peut mettre en oeuvre. Parmi les mesures prioritaires, il faut retenir la sauvegarde quotidienne des donnees sur un support deconnecte du reseau, la mise a jour reguliere de tous les systemes et logiciels, l’utilisation de mots de passe robustes et uniques avec un gestionnaire de mots de passe, l’activation de l’authentification a deux facteurs pour les acces sensibles, la segmentation du reseau pour limiter la propagation d’une attaque, la restriction des droits d’administration aux seuls agents qui en ont besoin et la mise en place d’un antivirus et d’un pare-feu a jour sur tous les postes.
Article redige par Laurent de Cavel, DPO certifie.
