La région Grand Est est passée en février dernier à deux doigts d'une catastrophe. Alors, même si les communes ont connu dans leur ensemble, peu de cyberattaques sérieuses, il est temps de sensibiliser élus et fonctionnaires. C'est ce qu'entreprend l'Association des Maires de France avec le soutien de l'ANSSI en publiant aujourd'hui un guide très pédagogique.
« Au cours de l’année 2019, l’ANSSI a recensé et traité 92 incidents de sécurité d’origine cyber affectant les communes et les intercommunalités, soit près de 25% des incidents totaux traités par l’agence sur cette période. Cette proportion conséquente reste toutefois à nuancer au regard de la gravité relative des compromissions détectées sur le système d’information des entités concernées. Ces dernières n’ont pas fait l’objet en 2019, ni même les années précédentes, d’incident majeur ou d’opération de cyberdéfense. »
Ce constat assez rassurant apparaît dans le guide intitulé « Cybersécurité : toutes les communes et intercommunalités sont concernées » que vient de publier l'Association des Maires de France (AMF) avec la collaboration de l'Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI). Mais même si la majorité des incidents affectant les SI des collectivités ne consiste encore que dans la défiguration de sites web, il ne faut pas négliger les risques encourus et il est urgent d'intégrer la cybersécurité dans les pratiques et les budgets.
L'attaque dont a été victime la région Grand Est en février dernier (lire l'article paru dans L'1FO-CR n°1) est dans toutes les mémoires même si le sujet n'est pas évoqué dans le guide.
Dans ce document de 32 pages, l'ANSSI reprend notamment les conclusions de travaux menés avec des collectivités territoriales bretonnes et vise à une prise de conscience des élus comme des fonctionnaires territoriaux. Il en ressort 30 recommandations aussi bien pour la gouvernance des collectivités (mutualiser les services numériques...) que concernant les moyens à mobiliser (choix budgétaires...), le devoir de résilience (PCA/PRA...) et la nécessité de réviser les relations avec des tiers (sécurité numérique des prestations...).
Un petit ouvrage de référence à diffuser largement dans les mairies et les centres administratifs qui pourrait s'enrichir à l'avenir d'un volet protection des données personnelles et d'un chapitre smart city.