Éric Naudin : “ l’État doit interdire aux collectivités de payer des rançons”
Eric Naudin est maire-adjoint à la ville intelligente, aux travaux et à la sécurité des bâtiments de Maurepas (78) @@@@@2019 #Gouvernement Ouvert, commune de 20 000 habitant·es située dans les Yvelines.
Après la crise sanitaire que les collectivités ont traversée, quelles sont les priorités en matière de cybersécurité ?
Une prise de conscience d’une partie des élu·es est encore nécessaire. Les grandes villes et les villes moyennes ont intégré ce sujet, mais il y a beaucoup de cyber attaques sur les petites villes.
L’accompagnement de ces villes est primordial. Grâce au Plan France relance et son volet cybersécurité, certaines mesures peuvent être mises en place – comme le parcours de cybersécurité – , mais beaucoup de villes n’ont pas de direction des services informatiques. et on ne va pas les chercher. Certes, l’ANSSI et les autres groupements répondent aux demandes des villes qui souhaitent obtenir de nouvelles compétences, mais cela n’est pas suffisant. Il faut aller au devant des besoins des collectivités et ne pas attendre qu’elles subissent une attaque pour leur proposer du soutien. Cela demande beaucoup d’énergie, de temps et d’argent, j’en ai conscience, mais c’est nécessaire. Aujourd’hui, on sait communiquer via les préfectures pour envoyer des informations réglementaires, ce canal pourrait également servir à descendre l’information. Cela permettrait peut-être aux villes concernées d’avoir conscience des dangers et connaissance des outils à leur disposition.
Comment évaluez-vous l’acculturation des collectivités aux exigences d’une cybersécurité complète ? Beaucoup de travail reste à faire ?
La prise en compte est proportionnelle à la taille de la collectivité. La génération dans laquelle s’inscrivent les élu·es contribue aussi à la conscience des dangers.
Beaucoup de communes n’ont pas d’élu·es au numérique, cela devrait faire partie des délégations régaliennes. Toutes les villes sans exception ont besoin de s’intéresser au numérique. Cela devrait être une obligation.
Quelles ressources, outils, bonnes pratiques sont à la disposition des collectivités aujourd’hui ?
Le Groupement d’Intérêt Public Action contre la Cybermalveillance (GIP ACYMA) est la porte d’entrée pour tous les maires et élu·es au numérique. L’idée n’est pas de se tourner vers le secteur privé, car il faut d’abord savoir ce qu’on veut avant de faire appel à des services.
Des régions ou départements comme les Hauts-de-Seine et les Yvelines ont créé des services numériques à destination des communes et ils travaillent actuellement sur la cybersécurité. Ce sont des structures qu’il faut regarder d’un œil très positif. Le Centre Interdépartemental de Gestion (CIG) de la Grande Couronne de la région d’Île-de-France propose des assurances sur la cybersécurité. L’idée est de faire une économie d’échelle : si on est attaqué, l’assurance va déléguer des experts pour remettre le système d’information en fonction et identifier l’attaquant. L’assurance ne doit pas du tout régler la rançon.
Je suis d’ailleurs totalement favorable à l’interdiction des collectivités de payer des rançons. Cette interdiction serait dissuasive et diminuerait le nombre d’attaques.
En quoi l’association Villes Internet peut-elle aider les collectivités ?
Villes Internet serait légitime à porter ces messages auprès de l’État. Nous sommes écoutés, nous avons une audience, il faut s’en saisir pour passer ce message.
Il faudrait rendre publiques les attaques, sans nommer les collectivités concernées, pour provoquer une prise de conscience.
Entre financer un toboggan ou un pare-feu pour le site internet que personne ne voit, le choix est souvent rapide.
Le groupe de travail conduit par Villes Internet sur la cyber-sécurité a un rôle à jouer. Nous avons fait deux réunions durant lesquelles des élu·es victimes d’attaques étaient présent·es, cela nous a permis de leur transmettre des informations et de recenser les situations. Ce groupe est essentiel. Il permet d’amener la culture des briques fondamentales vers les collectivités.