Question de Mme BOURRAT Toine (Yvelines - Les Républicains-A) publiée le 13/05/2021

Mme Toine Bourrat attire l'attention de Mme la ministre de la cohésion des territoires et des relations avec les collectivités territoriales sur l'augmentation inquiétante des cyber-attaques visant les collectivités locales et le coût engendré par le développement d'une protection numérique efficace face à ce phénomène.
En 2020, 20 % des entités victimes de rançongiciels se sont avérées être des collectivités. Dans le département Yvelines, la mairie d'Houilles a vu ses services paralysés le 30 janvier 2021 par un virus élaboré en Corée.
Si 30 % des collectivités assurent avoir été victimes de cyberattaques de ce type, plus de la moitié ne communiquent pas sur ces phénomènes et font donc craindre l'existence d'un « angle mort » en la matière. Alors que le club de la sécurité de l'information français (Clusif) enjoint les autorités locales à se doter d'un directeur de la cybersécurité sur le modèle des entreprises du CAC 40, un nombre substantiel de communes se trouvent démunies tant aux plans technique que financier. Bien que 64 % des collectivités aient défini des politiques de complexité et de renouvellement des mots de passe pour protéger leurs données stockées, ces palliatifs sont insuffisants et exposent de petits services municipaux à une nouvelle fracture numérique.
Dans ce contexte, la stratégie nationale en matière de cybersécurité paraît perfectible. Si elle prévoit l'instauration de computer security incident response team (CSIRT) aux fins d'accompagner les entités de taille intermédiaire en cas de cyberattaques, ces dispositifs ne répondent pas à l'urgence des maires. Réservés aux collectivités régionales, ils nécessitent un portage de projet conséquent et s'inscrivent dans une procédure de sélection par trop lourde. Le Gouvernement fixe par ailleurs l'effectivité de ces CSIRT à 2024, un horizon fort éloigné des besoins du terrain.
De la même manière, l'appel à manifestation d'intérêt visant à instaurer des démonstrateurs de cybersécurité contraint les collectivités intéressées à exprimer un besoin induisant une innovation, à manifester un engagement financier et à démontrer l'impact économique positif pour le territoire. Ces critères, qui mobilisent l'ingénierie des collectivités, s'inscrivent dans le temps long et ne répondent pas à l'urgence de la situation.
Elle souhaite donc connaître les pistes envisagées à court terme par le Gouvernement pour apporter une aide rapide, concrète et chiffrée aux petites communes démunies face à ce fléau.

- page 3123

Transmise au Première ministre


Réponse du Première ministre publiée le 23/06/2022

Les collectivités territoriales sont fréquemment la cible de cyberattaques, principalement à des fins d'extorsion. Ces attaques sont susceptibles d'affecter gravement la bonne marche des services publics, notamment dans les domaines des transports publics, de la gestion des prestations sociales ou de la bonne tenue de l'état-civil. Ce type de criminalité semble devoir s'installer dans la durée voire croître, compte tenu du niveau de cybersécurité perfectible de nombre de collectivités et de la numérisation croissante, par exemple dans la perspective des smartcities. D'ores et déjà, les collectivités territoriales doivent faire face à un certain nombre d'obligations et de responsabilités en matière de cybersécurité, notamment visant à protéger les données personnelles de leurs usagers ou à sécuriser leurs échanges avec ces derniers. De nombreuses « ressources » sont disponibles pour les aider à y satisfaire. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a ainsi publié en partenariat avec l'Association des maires de France (AMF) un guide de mise en œuvre d'une démarche de cybersécurité, ainsi qu'un guide présentant les différentes exigences réglementaires s'imposant aux collectivités territoriales en matière de sécurité de leurs outils numériques. De plus, l'ANSSI dispose d'un réseau de délégués régionaux en mesure d'orienter les collectivités territoriales dans le choix d'outils de cybersécurité. Elle a également noué des partenariats avec des associations de fournisseurs de services aux collectivités territoriales pour renforcer la cybersécurité de leurs offres. Dans le cadre du plan France relance, un parcours de cybersécurité est proposé aux collectivités volontaires. Elles sont aidées financièrement pour réaliser un diagnostic de leur niveau de cybersécurité, identifier les mesures de sécurité les plus urgentes à mettre en œuvre et dresser un plan d'amélioration de leur cybersécurité. De plus, afin de faciliter l'accès à des outils de cybersécurité au meilleur coût pour les collectivités, un appel d'offres est organisé. Ces dispositifs et mesures qui contribuent directement à l'élévation du niveau de cybersécurité des collectivités devront être pérennisés pour atteindre leur pleine efficacité.

- page 3001

Page mise à jour le