Recrudescence des cyberattaques à l'encontre des collectivités locales

Question de Mme NOËL Sylviane (Haute-Savoie - Les Républicains) publiée le 10/10/2024

Mme Sylviane Noël attire l'attention de M. le ministre de l'intérieur s'agissant de la recrudescence des cyberattaques à l'encontre des collectivités locales.

Depuis plusieurs années et a fortiori durant la crise sanitaire, de nombreuses collectivités locales ont accéléré leur processus de transition numérique pour permettre d'assurer une continuité de leurs services à leurs administrés et d'effectuer un maximum de démarches administratives en ligne sur leurs sites internet.

Or, chaque année, une grande partie d'entre elles sont victimes de cyberattaques avec parfois de lourdes conséquences. La menace est donc bien réelle et à un niveau élevé et n'épargne plus personne.
En France, les collectivités représentent d'ailleurs la deuxième cible, en volume, après les entreprises, des attaques par rançongiciel.

En Haute-Savoie, à la fin de l'année 2020, le Grand Annecy avait ainsi subi une importante attaque par rançongiciel. Les coordonnées personnelles de plus de 1 000 agents de la communauté d'agglomération avaient alors été diffusées sur le web alternatif.

Récemment, le réseau national de la mutualisation informatique et numérique a publié une carte de cette sinistralité qui montre une France des collectivités constellée d'attaques informatiques. Au 20 janvier 2023, ce recensement signalait 5 régions, 7 départements, 8 métropoles, 23 intercommunalités, 82 communes, 31 centres hospitaliers et 5 services départementaux d'incendie et de secours, victimes d'une intrusion informatique.

Face à ce changement de paradigme très rapide, les collectivités ont du mal à réagir. Si des actions de sensibilisation à la menace en ligne ont été menées dans certaines mairies afin de remédier à la méconnaissance des problèmes liés à la cybersécurité, de nombreuses petites communes se heurtent à des contraintes financières importantes pour pouvoir élever leur niveau de sécurité.

Alors que la e-administration reste un axe important de la modernisation de l'action publique, répondant à une demande forte des citoyens, les élus locaux doivent plus que jamais pouvoir avoir confiance dans le déploiement de leur e-administration d'autant plus dans ce contexte anxiogène permanent.

Aussi, elle le sollicite pour qu'il puisse lui indiquer les moyens qu'il compte mettre en oeuvre au profit des collectivités territoriales pour leur permettre de mieux se prémunir contre ces cyberattaques.

Publiée dans le JO Sénat du 10/10/2024 - page 3833

Transmise au Ministère de l'intérieur

Réponse du Ministère de l'intérieur publiée le 29/05/2025

En décembre 2023, le commandement du ministère de l'intérieur dans le cyberespace (COMCYBER-MI) a réalisé, en application de l'article 29 de la loi n° 2023-22 du 24 janvier 2023 d'orientation et de programmation du ministère de l'intérieur, une étude sur les vulnérabilités cyber des collectivités territoriales, une analyse du dispositif en place et des préconisations. Il a dressé un état des lieux pour les collectivités territoriales, en particulier pour les plus petites communes, qui font face à des enjeux structurels pour sécuriser leurs infrastructures numériques. Ainsi, ces communes apparaissent plus vulnérables face aux attaques des cybercriminels en raison de ressources humaines et budgétaires limitées.De fait, elles peuvent être amenées à sous-estimer les risques cyber menaçant leurs activités de service public ainsi que les conséquences (paralysie, perte de données, coûts, atteinte réputationnelle, etc.). Les communes de petite taille sont peu dimensionnées pour gérer une crise. En effet, seule une minorité d'entre elles dispose de plans d'action en matière de cybersécurité, d'un directeur des systèmes d'informations (DSI) et d'un responsable de la sécurité des systèmes d'informations (RSSI) et leur est souvent difficile d'allouer des ressources dédiées. Ainsi, les agents et élus demeurent insuffisamment sensibilisés aux risques numériques, et peu de collectivités disposent d'une politique de sensibilisation structurée et d'un plan de continuité d'activité pour maintenir les services en cas d'attaque. Or, les rançongiciels et hameçonnages constituent la menace principale pesant sur les collectivités. La troisième étude sur la maturité cyber des collectivités, publiée le 19 novembre 2024 par la plate-forme cybermalveillance.gouv.fr, apporte un éclairage sur l'écart pouvant exister entre, d'une part, l'importance croissante que représente la menace cyber pour toutes les collectivités et, d'autre part, la sous-évaluation de ce risque par un certain nombre de collectivités. En effet, une collectivité sur dix a déclaré avoir été victime d'une ou plusieurs cyberattaques au cours des douze mois ayant précédé la publication de l'étude, avec pour conséquence une interruption d'activité et de service pour 37 % d'entre elles, preuve de l'exposition et de la vulnérabilité des collectivités. L'organisation de la réponse à la menace cyber se développe et se renforce. Face aux risques croissants de cyberattaques, les communes peuvent compter sur une variété d'acteurs spécialisés. Ces acteurs incluent des entités publiques, comme l'agence nationale de la sécurité des systèmes d'information (ANSSI), qui fournit des recommandations techniques. Les forces de sécurité intérieure possèdent également des équipes formées pour assister les communes, notamment en cas d'incident ou pour des audits préventifs. Par contraste, 44 % des collectivités s'estiment malgré tout faiblement exposées aux risques cyber. De surcroît, elles ne sont que 14 % à se sentir bien préparées en cas de cyberattaque, et même parmi celles qui considèrent être bien préparées, 78 % ne disposent pas ou ne savent pas si elles disposent d'une procédure de réaction en cas d'attaque. Cet état des lieux est révélateur de la nécessité pour les collectivités non seulement de renforcer leur posture de cybersécurité, mais également d'améliorer leur résilience. Les collectivités peuvent aussi solliciter des structures territoriales, telles que les Cyber Security Incident Response Teams (CSIRT) régionaux et les campus cyber, qui offrent des compétences locales en détection et analyse d'incidents et en réponse rapide. La gendarmerie nationale a ainsi développé une offre de services à destination des collectivités territoriales, incluant des outils de diagnostics publics. Proposé depuis 2021, le dispositif de diagnostic cyber de la gendarmerie nationale appelé Di@GoNal, déjà réalisé auprès de 1 475 collectivités, dont 1 189 de moins de 5 000 habitants, révèle des lacunes préoccupantes, notamment dans l'organisation de la sécurisation des activités numériques des entités. En effet, 42 % des structures n'ont pas désigné de délégué à la protection des données, 58 % n'emploient pas de référents en cybersécurité et 75 % n'ont pas mis en place de plan de gestion de crise cyber. Les collectivités peuvent à cet égard compter sur les forces de sécurité intérieure pour les sensibiliser et les accompagner, notamment au moyen de dispositifs comme le « RECyM » de la police nationale. Lancé en 2018 par l'office anti-cybercriminalité (OFAC) de la direction nationale de la police judiciaire (DNPJ), le réseau des experts cyber-menaces (RECyM) est composé de réservistes civiques et opérationnels de la police nationale qui, en tant que professionnels issus des secteurs public et privé, agissent au service du tissu économique local et des collectivités territoriales En complément, MonAideCyber est un service gratuit de diagnostic cyber rapide, réalisé par des tiers de confiance, formés, outillés par l'ANSSI, rassemblés au sein d'une communauté. Il s'adresse aux entités publiques et privées, quelle que soit leur taille, déjà sensibilisées au risque et souhaitant s'engager dans une démarche adaptée et concrète de renforcement de leur cybersécurité.Le secteur privé joue un rôle complémentaire et apporte des solutions plus personnalisées en cybersécurité, comme des services de protection contre les menaces, de surveillance proactive et d'accompagnement à la mise en place de stratégies de résilience. Les missions du RECYM consistent à : - sensibiliser aux risques cyber les entreprises de taille intermédiaire, PME, et collectivités ; - diffuser les bonnes pratiques en matière d'hygiène cyber ; - accompagner en cas de cyberattaque ; - promouvoir le dépôt de plainte des victimes de cyberattaque. La capacité des collectivités à se prémunir face à la menace cyber est d'autant plus importante qu'au-delà de leur intérêt propre, la culture du risque cyber qu'elles développent contribue à la prise de conscience collective, à l'échelle des territoires, notamment vis-à-vis du tissu économique local, également très exposé. pour promouvoir une meilleure prise en compte des risques cyber et contribuer ainsi au renforcement de la posture nationale de cybersécurité. Les missions du RECYM consistent à : - sensibiliser aux risques cyber les entreprises de taille intermédiaire, PME, et collectivités ; - diffuser les bonnes pratiques en matière d'hygiène cyber ; - accompagner en cas de cyberattaque ; - promouvoir le dépôt de plainte des victimes de cyberattaque. Enfin, le groupement d'intérêt public action contre la cybermalveillance (GIP ACYMA), notamment grâce à sa plateforme www.cybermalveillance.gouv.fr fournit des ressources pédagogiques, des outils de diagnostic et des conseils pour sensibiliser les communes et renforcer leurs protections. C'est également le cas de certaines grandes entreprises de cybersécurité ou associations. Du 1er janvier 2024 au 31 octobre 2024, les plus de 100 réservistes du RECyM ont oeuvré sur l'ensemble du territoire national en menant 115 actions de sensibilisation au bénéfice de 2704 entreprises et collectivités territoriales, permettant ainsi de sensibiliser plus de 10 500 personnes. Outre cette organisation et les outils mis en place, le ministère de l'intérieur a établi, à son niveau, 3 axes avec des préconisations précises. Le premier axe est tourné vers l'organisation et le développement. Il vise à accompagner les collectivités dans la formalisation d'une stratégie globale de cybersécurité en proposant une assistance parles acteurs régionaux (campus ou CSIRT) ou les opérateurs publics de service numérique (OPSN) pour aider les collectivités à élaborer une politique complète de cybersécurité adaptée. Il encourage la mutualisation des compétences numériques, avec un DSI assurant la sécurité informatique des collectivités, idéalement à l'échelle départementale ou intercommunale. Enfin, il suggère de clarifier les attributions des référents numériques en préfecture : préciser leur rôle pour coordonner la politique de cybersécurité locale, surveiller les progrès en sécurité et organiser des exercices de gestion de crise. Le dispositif « 17 Cyber » a été lancé par le ministère de l'intérieur le 17 décembre 2024. Accessible depuis les sites 17cyber.gouv.fr, masecurite.interieur.gouv.fr ou encore cybermalveillance.gouv.fr, ce nouvel outil permet au public (particuliers, professionnels, administrations), de se voir proposer : 1 - un diagnostic de la cybermenace par la mise en place d'un parcours adapté ; 2 - la mise en relation avec des prestataires privés proposant des interventions informatiques ; 3 - l'accompagnement à la judiciarisation par une mise en relation avec des policiers ou gendarmes, par tchat, 24 h/24 et 7 jours /7, pour certaines infractions définies par l'OFAC ; onze premières menaces sont ainsi identifiées et seront prochainement complétées. Le second axe vise à la prévention et à la sensibilisation. Cette sensibilisation cible d'abord les élus et les agents aux risques cyber par le déploiement de formations et d'actions de sensibilisation, avec l'aide de ressources en ligne et modules comme SensCyber pour renforcer la culture de cybersécurité. Il vise à promouvoir un outil national pour diagnostiquer le niveau de cybersécurité des collectivités et proposer des recommandations de renforcement. Enfin, pour accroître la notoriété des dispositifs d'assistance, il est nécessaire de faire connaître les acteurs et dispositifs d'accompagnement comme le COMCYBER-MI, l'ANSSI, et le nouveau service d'assistance « 17 cyber », en assurant une communication cohérente et efficace, y compris sur l'offre de sécurité de proximité de la gendarmerie et de la police nationales. Le troisième axe concerne l'anticipation et la gestion de crise. Il vise à renforcer la résilience par la planification de crise locale en soutenant la mise en place de plans de continuité d'activité en cas de crise cyber, avec des exercices réguliers pour assurer la disponibilité des services publics essentiels. Afin de soutenir les collectivités victimes de cyberattaques dans leur organisation et la communication de crise, un soutien psychologique peut être apporté pour faire face au traumatisme post-attaque.

Publiée dans le JO Sénat du 29/05/2025 - page 2796