Le nombre de cyber incidents trai­tés par l'ANSSI a chuté de 20 % en 2022 ; pourtant, vis-à-vis des collectivités territoriales, la menace ne faiblit pas. Bien au contraire : à l’occasion de la présentation du der­nier pa­no­rama de la me­nace cyber, le nouveau directeur de l’ANSSI (janvier 2023), Vincent Strubel, indiquait que 23 % des vic­times de ran­çon­gi­ciels étaient des collectivités locales en 2022, contre 19 % en 2021. Les cybercriminels « ont su sai­sir une mul­ti­tude d'op­por­tu­ni­tés of­fertes par la généralisation d'usages nu­mé­riques sou­vent mal mai­tri­sés », affirmait l’ANSSI.

Les col­lec­ti­vi­tés sont en effet trop peu conscientes de l’am­pleur réelle de la me­nace. C’est ce que relève une étude Le Courrier des maires - SMACL assurances : la conscience du risque a certes progressé – 47 % considèrent les cyberattaques comme un risque majeur – mais presque autant (44 %) jugent le risque mineur, voire absent (6 %).

L’enjeu est pourtant de taille. Comme le souligne Rémy Février, maître de Conférences au Conservatoire National des Arts et Métiers (CNAM), les collectivités territoriales se situent intrinsèquement à l'intersection de trois univers : politique, économique et sociétal : « celles-ci relèvent quotidiennement trois défis numériques majeurs : l'administration électronique, l'e-démocratie et la dématérialisation des appels d'offres ».

En se trouvant en première ligne, alors qu’elles sont parfois insuffisamment protégées, les collectivités courent le risque de paralysie de territoires entiers.

La cy­ber­sé­cu­rité, l'af­faire de tous

Les col­lec­ti­vi­tés ter­ri­to­riales doivent tis­ser un lien de confiance avec les ci­toyens. Les particuliers, professionnels et associations sont de plus en plus nombreux à effectuer leurs démarches administratives en ligne. Un in­ci­dent peut durablement briser ce lien. Avec la dé­ma­té­ria­li­sa­tion crois­sante des don­nées et la mul­ti­pli­ca­tion des ou­tils nu­mé­riques, il est in­dis­pen­sable de faire de la cy­ber­sé­cu­rité une prio­rité.

Pourtant, la cy­ber­sé­cu­rité est encore trop sou­vent réduite à une question exclusivement tech­nique et déléguée à la Di­rec­tion des sys­tèmes d’in­for­ma­tion. Les élus et les directeurs généraux des services se heurtent au coût de la mise en œuvre de moyens humains dédiés : formation du personnel, sensibilisation des élus, des administrations. Les acteurs publics locaux se privent ainsi d’un premier niveau d’audit cyber et d’analyse de leurs vulnérabilités.

Security Rating®, la solution SaaS de Board of Cyber, permet aux collectivités de toutes tailles d’évaluer en continu leur maturité cyber. Cette solution automatisée, rapide et non intrusive, se concentre sur six domaines d’analyse, parmi lesquels la messagerie, le site internet et les vulnérabilités. Les décideurs, élus, DGS, DSI ou RSSI, ont ainsi accès à une notation sur 1000 qui leur donne immédiatement une idée claire de leur exposition aux risques. Ainsi, une collectivité qui obtient une note basique, inférieur à 500 sur 1000 a cinq fois plus de risques de subir une cyberattaque que si elle a une note avancée (au-dessus de 700).

Au-delà de la notation et de cet audit cyber, Security Rating® fournit un tableau de bord, une cartographie des risques, un benchmark sectoriel et un ensemble de rapports qui facilitent le pilotage des risques cyber. Enfin, Security Rating® partage aux équipes métiers les explications détaillées, les points d’amélioration prioritaires, et les recommandations opérationnelles qui permettent aux collectivités d’améliorer rapidement leurs performances en cybersécurité.

Les collectivités peuvent ainsi assurer les missions de service public qui impliquent un haut niveau de protection des données personnelles, des administrés et des agents publics : délivrance de titres d’identité et d’actes d’état civil, demandes d’aides sociales, accès à l’emploi et aux formations, démarches d’urbanisme, engagements associatifs et participation citoyenne.

Un Observatoire du risque cyber

Grâce à Security Rating®, les départements, les régions, mais aussi les intercommunalités peuvent également piloter d’un coup d’œil la posture cyber de toutes les collectivités de leur territoire. Un tableau de bord multi-collectivités permet de visualiser, sensibiliser et accompagner les entités qui le composent.

Cet Observatoire du risque cyber permet concrètement de lancer rapidement des campagnes de remédiation sur les vulnérabilités récurrentes. Il permet également d’engager des politiques publiques de prévention du risque cyber, en identifiant les vulnérabilités critiques et les plus récurrentes. Il permet enfin de mesurer directement sur la plateforme le succès de ces campagnes, grâce à l’évolution de la notation. Au total, le renforcement de la cybersécurité des collectivités est la grande valeur ajoutée de Security Rating®.

C’est bien ce que rappelait Nelly Garnier, déléguée spéciale à la Smart Région, au moment du lancement de l’Observatoire de la performance cybersécurité des communes par la Région Île-de-France et Board of Cyber. « Nos collectivités ont un besoin vital d’être accompagnées dans le domaine de la cybersécurité. L’Observatoire leur permettra d’anticiper les risques et de mieux se défendre ». C’est près de 800 collectivités qui ont pris la mesure du risque cyber et construisent, jour après jour, un écosystème de confiance.