Étude : la cybersécurité dans les collectivités de moins de 3 500 habitant·es

Publié le 1 juin 2022 Identités, droits et libertés

En fin d’année 2021, Cybermalveillance.gouv.fr a conduit une enquête auprès des collectivités de moins de 3 500 habitant·es, qui représentent 91% des communes en France. Il s’agit pour le dispositif national de sensibilisation, prévention et d’assistance aux victimes d’actes de cybermalveillance de comprendre les usages numériques, d’identifier les risques/freins et de comprendre les besoins des petites communes pour leur apporter des réponses utiles et concrètes.

La cybersécurité, un enjeu majeur face à la recrudescence des cyberattaques

Ces derniers mois, les collectivités de toutes tailles sont devenues des cibles d’actes de cybermalveillance de plus en plus nombreux (systèmes d’information bloqués, missions au service de leurs administrés interrompues, etc.). Un incident de sécurité numérique peut se produire à tout moment et dans n’importe quelle collectivité.

C’est dans ce contexte que le gouvernement a intégré un volet relatif à la cybersécurité des collectivités locales dans le plan France Relance. Cette étude s’inscrit dans ce cadre.

Une gestion informatique externalisée

Il ressort de l’étude que 77% des collectivités interrogées n’ont pas de responsable informatique et externalisent leur gestion informatique.

Parmi elles, 64% ont recours à un prestataire externe, 23 % ont une gestion interne de leur parc informatique, 10% font appel à des structures externes (mutualisation de services numériques ou associations d’élus), 2% externalisent au sein de la communauté de communes et 1% externalisent chez un administré.

Quand elles externalisent, 64% d’entre elles s’adressent à un prestataire informatique de proximité qui gère l’ensemble du parc informatique de la commune. En cas d’incident, les collectivités interrogées déclarent recourir en premier lieu à leur prestataire informatique de proximité. Parmi les collectivités ayant fait l’objet d’une cyberattaque, 61 % déclarent avoir fait appel à leur prestataire. Pour les collectivités n’ayant jamais été victimes de cyberattaques à ce jour, 41% affirment qu’elles contacteraient leur prestataire.

Pourtant, l’étude révèle que les collectivités n’ont pas connaissance du niveau d’expertise en sécurité numérique de leur prestataire de proximité ou de leur sous-traitant, le cas échéant. Elles se croient sécurisées et n’ont pas le réflexe de contrôler ses compétences, surtout lorsqu’il s’agit d’une relation contractuelle de longue date.

Des organisations peu sensibilisées

Les principales objections des collectivités interrogées : budget insuffisant, manque de temps, autres priorités, pas concernées. Infographie cybermalveillance.fr

65% des collectivités pensent que le risque numérique est faible, voire inexistant, ou ne savent pas l’évaluer. Seules 35% identifient un risque numérique élevé, voire très élevé, mais s’interrogent sur les moyens pour y pallier (budgets, outils, ressources humaines). 49% ont identifié des risques de perte de données et de blocage des services (état civil, école, social, urbanisme, financier).

Ces publics sont peu sensibilisés aux risques et bonnes pratiques en matière de sécurité numérique. 2/3 des publics (maires, adjoints, agents, directeur·ices général des services) n’ont pas été sensibilisés à la sécurité numérique et 57% des responsables informatiques interrogés ne sont pas formé·es à la sécurité numérique.

Il ressort également de l’étude que les personnes interrogées n’ont pas connaissance du cadre juridique en vigueur, à l’exception du Règlement Général sur la Protection des Données (RGPD). La majorité ne connaît pas les dispositions relatives aux compétences et aux responsabilités des collectivités et des élus en matière de sécurité numérique. Ils ne sont pas familiers non plus de l’écosystème cyber et des acteurs étatiques impliqués (Cybermalveillance.gouv.fr, Agence Nationale de la Sécurité des Systèmes d’Information, ministère de l’Intérieur, etc.).

Des freins à la sécurité numérique

65% pensent que le risque est faible voire inexistant ou ne savent pas l'évaluer. Seules 35% identifient un risque élevé, mais s'intérrogent sur les moyens pour y pallier.

Les collectivités conscientes des risques ne savent pas vers qui se tourner. Elles ont également des difficultés àévaluer la maturité cyber de leur collectivité, estimant les communications non adaptées aux collectivités locales et aux élus. Elles trouvent également la réglementation complexe.

Une réponse unique : cybermalveillance.gouv.fr
Un guichet unique accessible en ligne. Des conseils adaptés aux collectivités locales. Unservice de proximité grâce à un réseau de prestataires présents sur l'ensemble du territoire. Label ExpertCyber. Une sensibilisation des collectivités aux risques numériques avec des outils et un programme dédié. IMMUNITÉ cYBER, un outil permettant à chaque élu ou responsable local de mesurer lui-même le niveau de cyberprotection mis en place au sein de sa collectivité.

Lire l’étude complète

Par Anna Mélin

Étude : la cybersécurité dans les collectivités de moins de 3 500 habitant·es

Veille et partage d’expérience dans l’Atlaas : Numérique responsable, cyber-risque, intelligence artificielle…

Parution : Parthenay « ville numérique » – Aux prémices de la société européenne de l’information

Label 2025 : Témoignage de Christophe Mondoloni, Conseiller en charge du numérique au Pays Ajaccien