Les experts ont d’abord mené un état des lieux de l’appréhension du risque cyber et de la maturité des collectivités en la matière, qui révèle l’urgence de la situation. L’étude débouche sur la mise à disposition de fiches d’analyse, de conseils pratiques et juridiques ainsi que sur la formulation de 10 recommandations, dont certaines appellent des évolutions structurelles et réglementaires rapides.
Après 6 mois de travaux incluant une trentaine d’entretiens qualitatifs[1] et une large consultation en ligne, qui a permis de créer un échantillon représentatif et de recueillir 240 réponses approfondies à un questionnaire, les résultats de l’étude Tactis / Devoteam / Parme Avocats pour la FNCCR ont été présentés aux premiers élus en juin dernier, et le seront plus largement dans le cadre du prochain FIC[2].
Les usages numériques des collectivités se développent massivement, dans le cadre de projets de villes et territoires intelligents, dans un contexte de multiplication forte des services, applications et plateformes de données, avec des enjeux clés liés à la complexification des systèmes d’information et l’interopérabilité entre anciens et nouveaux systèmes.
Face à cette situation inédite et aux risques croissants associés, le niveau de compétences et les moyens (part du budget alloué) varient sensiblement selon le profil des collectivités mais restent globalement nettement insuffisants (par exemple, seulement 12% des structures interrogées ont connaissance de mécanismes juridiques concrets pour répondre aux enjeux de cybersécurité).
Malgré les nombreuses attaques recensées et leur impact sur l’organisation des structures touchées, la perception du risque cyber reste limitée alors qu’une sensibilisation et une formation accrues seraient de nature à éviter une part significative de ces attaques.
C’est pourquoi le livrable de l’étude propose une série de fiches pratiques d’analyse de cas d’usages, basés sur différentes technologies porteuses d’innovation (bâtiments connectés, interopérabilité, internet des objets, intelligence artificielle, navettes autonomes, gestion de catastrophe, vidéoprotection, fédération d’identités, utilisation généralisée des smartphones, géolocalisation, smart grids, hyperconnexion, données ouvertes et données citoyennes, drones, hypervision urbaine, blockchain), insistant sur l’analyse juridique des enjeux liés.
Le groupement d’experts formule également 10 recommandations à destination des collectivités et autorités compétentes. Il s’agit non seulement d’aider les premières à s’approprier le sujet et à l’anticiper dès la rédaction du cahier des charges d’un projet de smart territoires, mais aussi de proposer des évolutions structurelles et/ou réglementaires qui permettraient de créer un cadre plus favorable à la gestion des risques.
La dernière recommandation porte ainsi sur la création d’un centre de ressources (CERT, Computer emergency response team), d’envergure nationale, qui pourrait être porté par la FNCCR et qui serait spécifiquement orienté vers les collectivités territoriales. En complément et cohérence avec le périmètre de responsabilités des CSIRT (Computer security incident response team) régionaux, que l’ANSSI envisage de créer, un tel CERT pourrait assurer un rôle de fédérateur et coordinateur, dans une logique de villes et territoires intelligents.
Cf. détail des recommandations ci-dessous.
L’étude est accessible en ligne sur le site de la FNCCR : Étude Cybersécurité FNCCR – FNCCR.
1 – Privilégier la mutualisation territoriale pour renforcer les moyens affectés à la cybersécurité
Définir et mettre en œuvre une stratégie cybersécurité équilibrée, tenant compte des enjeux multiples de mutualisation des moyens, de maîtrise de la donnée et sécurité des systèmes d’information.
En particulier, la mutualisation des ressources et compétences au sein de structures spécialisées, par exemple via un OPSN (opérateur public de services numériques) ou un syndicat technique, à l’échelon départemental ou régional, s’avère pertinente.
2 – Faire de la cybersécurité un enjeu politique
Désigner un élu cybersécurité, responsable de la définition et la mise en œuvre de la politique cyber, incluant des principes généraux que l’ensemble des acteurs de la collectivité doit systématiquement respecter.
L’implication d’un élu constitue un prérequis à la maîtrise de la cybersécurité, compte tenu de ses enjeux forts et de sa dimension transversale.
L’élu cybersécurité doit s’appuyer sur les compétences en place au sein de la collectivité, pour la mise en œuvre opérationnelle de la politique cyber dans les services, i.e. sur le RSSI, lorsqu’il existe, ou un agent assurant un rôle de référent cyber.
La mise en réseau des différents élus, RSSI et référents cybersécurité favoriserait la coopération entre collectivités ; l’animation et la coordination d’un tel réseau pourraient rentrer dans les missions de la FNCCR.
3 – Sensibiliser et former les agents des collectivités et élus aux menaces cyber
L’ensemble des agents des collectivités doit pouvoir bénéficier, dans le cadre de la formation continue, d’une sensibilisation ou d’une formation à la cybersécurité, à des niveaux adaptés à leurs fonctions.
Les élus doivent pouvoir bénéficier d’une sensibilisation spécifique intégrant des aspects stratégiques de la cybersécurité, notamment la prise en compte du risque.
4 – Intégrer la cybersécurité nativement à l’ensemble des projets
Les acteurs des collectivités doivent intégrer les enjeux cybersécurité dès la conception, puis tout au long de la vie de leurs projets de villes et territoires intelligents.
L’introduction d’un volet sur la cybersécurité et les données, au sein des schémas directeurs d’aménagement numérique, en application des dispositions de l’article L.1425-2 du CGCT, permettrait de structurer la mise à niveau nécessaire de la cybersécurité des villes et territoires intelligents.
5 – Développer un processus d’amélioration continue sur la cybersécurité
Une analyse des risques cybersécurité doit être réalisée sur la collectivité en impliquant élus et agents.
Cette analyse doit être mise à jour de manière continuelle, en particulier lorsqu’il y a une volonté d’introduire une nouvelle technologie au sein de la collectivité.
Les élus doivent être conscients et responsables du risque résiduel – c’est-à-dire le risque non couvert par les contre-mesures de sécurité mises en place – qui va bien au-delà du risque lié au numérique, dès lors que la collectivité emploie des systèmes cyberphysiques.
6 – Renforcer la sécurisation des documents publics sensibles
Renforcer la sécurisation des documents publics contenant des données à caractère personnel, ceux devant faire l’objet d’une conservation de plus de cinq ans au regard du régime juridique applicable aux archives publiques, et ceux ayant statut d’archives définitives.
7 – Bâtir un écosystème collectif dédié aux spécificités territoriales
Renforcer la concertation entre collectivités d’une part et communauté scientifique, académique et industrielle d’autre part.
Ce processus de concertation entre collectivités et communauté scientifique devrait alimenter un bulletin de veille, avec l’objectif de partager et rendre accessible le bon niveau d’information.
En plus de l’animation et la coordination d’un réseau des élus cybersécurité (en lien avec la recommandation n°2), la réalisation et la diffusion d’un tel bulletin de veille pourraient rentrer dans les missions de la FNCCR.
8 – Promouvoir une mise à niveau des opérateurs de services publics, dans un objectif de continuité d’activités
Les délégataires des collectivités territoriales, qui fournissent des services essentiels, sont concernés par le management de la sécurité de l’information ; la certification AFAQ ISO/IEC 27001 devrait constituer une obligation.
Pour ces mêmes délégataires, l’application des dispositions d’OIV (opérateur d’importance vitale) et d’OSE (opérateur de service essentiel) devrait constituer un objectif cible.
9 – Proposer un socle juridique pour les contrats et marchés publics
La FNCCR propose l’insertion, dans les contrats publics, d’une méta-clause, permettant d’engager le titulaire du marché à se conformer aux obligations légales auxquelles sont soumises les collectivités en matière de cybersécurité.
En outre, la FNCCR propose d’aménager un moyen de contrôle, par la collectivité, du niveau de sécurité auquel s’est engagé le titulaire, et ce en exigeant la fourniture d’un cahier des normes techniques de cybersécurité par ledit titulaire.
10 – Définir un chef de file national au niveau de la cybersécurité dédié aux collectivités territoriales
Approfondir l’opportunité, et le positionnement de la FNCCR, liés à la mise en œuvre d’un CERT, d’envergure nationale, spécifiquement orienté vers les villes et territoires intelligents.
Un tel CERT doit s’inscrire en complémentarité et cohérence avec le périmètre de responsabilités des CSIRT régionaux, que l’ANSSI envisage de créer. Un positionnement de la FNCCR pourrait s’inscrire dans une logique de centre de ressources pour les collectivités adhérentes, incluant :
Enfin, un tel CERT national collectivités pourrait servir d’interface avec l’Europe (sur le modèle de la CNIL, i.e. organisation indépendante au niveau national et en réseau au niveau européen). Un tel rôle que pourrait assurer la FNCCR permettrait d’accroître la visibilité de ses actions, et de celles de ses adhérents, à l’échelle européenne.
[1] Entretiens avec des collectivités, acteurs du territoire et experts cybersécurité (ANSSI, CNIL, Institut National pour la Cybersécurité et la Résilience des Territoires, Service interministériel des archives de France, Pôle national de lutte contre les cybermenaces et le Cybermalveillance).
[2] Forum International de la Cybersécurité, événement de référence en Europe en matière de sécurité et de confiance numérique, 7-9 septembre 2021, Lille Grand Palais.
Vous avez une question sur l'actualité ? Vous souhaitez contacter l'équipe Tactis sans nécessairement savoir à qui adresser votre demande ? Merci de bien vouloir remplir ce formulaire.