Collectivités et cybersécurité : 92% sont conscientes des enjeux

La deuxième étude* sur la maturité des collectivités en matière de cybersécurité, réalisée par Opinion Way pour Cybermalveillance.gouv.fr, vient d’être rendue publique à l’occasion du 105ème Congrès des maires.

L’exposition aux menaces cyber est une réalité pour 42% des collectivités, en particulier les plus grandes (plus de 10.000 habitants). Cependant, un constat alarmant émerge : une part non négligeable (22%) indique que le risque cyber n’est pas une priorité ou qu’ils ne se sentent pas concernés. Les exemples de cyberattaques ayant des répercussions directes sur les services publics ne manquent pas. Par exemple, l’attaque du 31 août dernier à Betton, une commune de 12.000 habitants proche de Rennes, illustre la gravité de ces menaces. Victime d’une attaque par rançongiciel, aucun des serveurs de la ville n’a fonctionné pendant plusieurs jours, toutes les données ayant été chiffrées. Les services ont fonctionné en mode dégradé. Mais lorsque c’est le fonctionnement d’un hôpital qui est compromis, comme celui d’André-Mignot à Versailles, les conséquences sont bien plus lourdes : déprogrammation de certaines opérations, impossibilité de reconnecter certains appareils de surveillance en réanimation… Dans le moment le plus critique de la crise, il n’y avait pas d’autre solution que de placer une personne devant chaque chambre pour surveiller les écrans.

Des ressources insuffisantes pour un enjeu de taille

Malgré une sensibilisation croissante, les budgets alloués à la cybersécurité demeurent insuffisants. Alors que 65% des collectivités disposent d’un budget informatique inférieur à 5.000 euros, la part consacrée à la cybersécurité dans les dépenses est naturellement minime. Cette contrainte budgétaire se répercute par un manque d’équipements de protection et de formations spécialisées. Conscientes des risques, nos collectivités restent néanmoins vulnérables. Le manque de connaissances en cybersécurité (45%), le déficit de ressources dédiées (38%) et le manque de temps et de budget (34%) sont des obstacles majeurs qui empêchent une défense efficace contre les cybermenaces. Ces contraintes se traduisent par des difficultés à mettre en œuvre des mesures préventives et à s’adapter à l’évolution rapide des menaces cybernétiques.

Des attentes fortes et des initiatives encourageantes

Les collectivités expriment un besoin urgent de sensibilisation (64%), de solutions adaptées (55%) et de conseils (51%). Des initiatives telles que celles initiées par la ville de Saint-Agathon, où l’adjudante Aline Betton, l’une des référentes en cybercriminalité au sein du groupement de gendarmerie des Côtes-d’Armor, a sensibilisé les représentants des onze communes du territoire de Guingamp-Paimpol Agglomération, constituent un bon début. La formation a un impact direct : elle permet la mise en place de mesures proactives visant à réduire significativement les risques.

Au sein des collectivités, on comprend désormais que la question n’est plus de savoir si une attaque surviendra, mais plutôt quand elle aura lieu. Cependant, il est préoccupant de constater que dans 92 % des cas, nos élus locaux et le personnel territorial se sentent impuissants face aux nombreux obstacles rencontrés au quotidien.

À LIRE AUSSI :

Secu

La sécurité des collectivités en mode bug bounty

François Jeanne

27 Juin

---

Quelques chiffres à retenir

Victimes de Cyberattaques

1 collectivité sur 10 a été victime d’attaques, notamment d’hameçonnage (46%), téléchargement de virus (17%), consultation de sites malveillants (13%), exploitation de failles non corrigées (5%), utilisation de clés USB compromises (4%), erreurs de configuration de sécurité (4%) et causes inconnues (37%).

Conséquences des Cyberattaques

Interruptions d’activité et de services (40%), destruction de données (20%), pertes financières (20%), vol de données (14%), atteinte à l’image (12%), autres impacts (27%).

Exposition aux Risques

Environ 42% des collectivités s’estiment exposées aux risques de cyberattaques.

Sensibilisation

78% des collectivités ont reçu une sensibilisation au moins une fois au cours des 12 derniers mois, et 33% de manière régulière.

Budget Informatique et Cybersécurité

65% des collectivités disposent d’un budget informatique de moins de 5.000 euros, et 75% des élus et agents consacrent moins de 2.000 euros à la cybersécurité.

Freins à la Sécurité

Manque de connaissances (45%), de ressources humaines dédiées (38%), de temps et de budget (34% pour chacun).

Attentes des Collectivités

Sensibilisation (64%), outils et solutions de sécurisation (55%), diagnostics et conseils spécialisés (51%), aide financière (47%).

---

Quelques attaques cyber ayant affecté un service public en 2022

Centre Hospitalier Sud Francilien (CHSF) à Corbeil-Essonnes : Attaque par ransomware le 20 août 2022, exigeant 10 millions de dollars. Impacts majeurs sur les opérations, nécessitant des procédures manuelles.

Hôpital André-Mignot à Versailles : Cyberattaque le 3 décembre 2022, causant de sérieuses perturbations. Une rançon a été exigée, montant non divulgué.

Hôpitaux de Manchester et Psychiatrique de Belair à Charleville-Mézières : Attaques en septembre et octobre 2022, sans demande de rançon ou vol de données, mais avec un impact significatif sur les opérations.

GHT Cœur Grand Est : Attaque le 19 avril 2022, touchant huit hôpitaux. Ransomware demandant 1,3 million de dollars et vente de données sur le darknet.

Conseil Départemental de la Seine-Maritime : Cyberattaque le 9 octobre 2022, paralysant plusieurs services et perturbant les démarches en ligne des citoyens.

Région Guadeloupe : Piratage informatique le 21 novembre 2022, affectant divers services, sans arrêter la majorité des missions de service public.

Conseil Départemental de la Seine-et-Marne : Attaque le 6 novembre 2022, avec cryptage de fichiers et une demande de rançon de 10 millions de dollars.