Secu
Les collectivités locales peinent à s’armer face à la menace numérique
Par Thierry Derouet, publié le 19 novembre 2024
Alors qu’elles sont des cibles récurrentes des cyberattaques, les collectivités locales, en particulier les plus petites, continuent de négliger la cybersécurité. La troisième étude de Cybermalveillance.gouv.fr* dévoile un manque préoccupant de préparation, nourri par des budgets dérisoires, un déficit de compétences et une perception erronée des risques. Une inertie qui pourrait leur coûter cher.
Les chiffres parlent d’eux-mêmes : 10 % des collectivités interrogées rapportent avoir été victimes d’une ou plusieurs cyberattaques au cours des douze derniers mois. L’hameçonnage reste en tête des techniques utilisées (30 %), suivi des virus téléchargés et des consultations de sites infectés (12 % chacun). Quant aux failles de sécurité non corrigées, elles progressent de manière inquiétante, atteignant 10 % des cas (+5 points par rapport à 2023).
Mais, fait troublant, près de la moitié des collectivités touchées (45 %) ignorent l’origine de l’attaque. Conséquence : un impact sévère sur leurs activités, avec des interruptions de service (37 %), des vols ou destructions de données (24 %), et des pertes financières ou réputationnelles (10 % chacune).
Un sentiment de sécurité illusoire
Pourquoi, alors, cette inertie face à une menace bien réelle ? La réponse réside dans une perception erronée des risques. Près de 44 % des collectivités s’estiment faiblement exposées (+6 points par rapport à 2023), un chiffre qui grimpe à 49 % pour celles de moins de 300 habitants. Cette sous-estimation, nourrie par une méconnaissance des enjeux, va de pair avec une confiance exagérée dans leur capacité de protection : 53 % considèrent leur niveau de sécurité suffisant, alors que seulement 14 % se disent réellement préparées à une attaque.
Jérôme Notin, directeur général de Cybermalveillance.gouv.fr, met en garde : « L’écart se creuse entre les petites collectivités qui continuent de penser qu’elles ne peuvent pas être des victimes potentielles, et celles de plus de 1 000 habitants, qui intensifient leurs efforts. »
Pire encore, parmi les rares collectivités se sentant prêtes, 78 % ne disposent pas ou ignorent l’existence d’une procédure d’urgence en cas d’attaque.
Le nerf de la guerre : des budgets et des compétences en berne
Cette fragilité structurelle s’explique aussi par des ressources financières ridicules au regard des enjeux. Pour 73 % des collectivités locales, le budget informatique annuel ne dépasse pas 5 000 euros, et 77 % consacrent moins de 2 000 euros à la cybersécurité. Seules 10 % envisagent d’augmenter ces montants, un effort quasi inexistant parmi les communes de moins de 1 000 habitants (5 %), mais un peu plus fréquent chez celles de plus de 1 000 habitants (23 %).
Outre les finances, le manque de compétences est également criant : 47 % des collectivités pointent une méconnaissance du sujet, et 70 % admettent ne pas être en mesure d’évaluer si les solutions proposées sont adaptées à leurs besoins.
Face à ce constat, les attentes sont fortes. Une majorité (62 %) appelle à une sensibilisation accrue des élus et agents, 54 % souhaitent un accès facilité aux outils de sécurisation, et 45 % demandent un accompagnement financier renforcé.
Une fracture territoriale inquiétante
Les plus grandes collectivités semblent mieux armées, mais les petites communes, représentant l’essentiel du tissu local, sont clairement à la traîne. Dépendantes de prestataires informatiques externes (66 %) ou des services territoriaux (29 %), elles peinent à se tourner vers des dispositifs comme Cybermalveillance.gouv.fr, que seules 9 % des communes de moins de 1 000 habitants identifient comme un acteur clé, contre 46 % des collectivités de plus de 10 000 habitants.
Les 5 recommandations de l’étude pour renforcer la cybersécurité des collectivités
L’étude de Cybermalveillance.gouv.fr ne se limite pas à dresser un constat alarmant. Elle propose également des pistes concrètes pour aider les collectivités locales à mieux se protéger face aux cybermenaces. Voici les principales recommandations que l’on peut déduire de ce rapport :
1. Renforcer la sensibilisation des élus et agents :
Une majorité des collectivités (62 %) appellent à des campagnes de formation et de sensibilisation pour améliorer la compréhension des risques et des bonnes pratiques en cybersécurité.
2. Augmenter les budgets dédiés à la sécurité informatique :
Avec 77 % des collectivités consacrant moins de 2 000 euros à la cybersécurité, il est essentiel de revoir ces enveloppes budgétaires à la hausse, en particulier pour les petites communes.
3. Faciliter l’accès aux outils de sécurisation :
Plus de la moitié des collectivités (54 %) réclament des solutions techniques adaptées à leurs besoins, afin de protéger efficacement leurs systèmes d’information.
4. Renforcer l’accompagnement financier et technique :
45 % des collectivités jugent indispensable un soutien financier accru, mais aussi un accompagnement pratique pour choisir et déployer des solutions adaptées.
5. Encourager une meilleure planification stratégique :
L’étude insiste sur la nécessité de mettre en place des procédures de réaction en cas de cyberattaque. Cela passe par l’élaboration de plans d’urgence et de continuité d’activité, aujourd’hui absents ou méconnus dans 78 % des collectivités.
Méthodologie
* L’étude, réalisée par OpinionWay pour Cybermalveillance.gouv.fr, s’appuie sur un panel de 1 710 élus et agents communaux responsables de l’informatique et de la sécurité dans des communes de moins de 25 000 habitants, en métropole et outre-mer. Elle a été conduite entre le 26 août et le 4 octobre 2024.
À LIRE AUSSI :