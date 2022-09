Lors du renouvellement de la convention liant le syndicat mixte Mégalis et le centre de gestion d’Ille-et-Vilaine, le 14 septembre, les deux structures ont intégré l’accompagnement à la cybersécurité pour les collectivités du département. Un pas de plus vers la mutualisation de ce nouveau besoin.

« La question n’est pas de savoir si les collectivités seront un jour victimes d’une cyberattaque, mais quand », rappelait Chantal Pétard-Voisin, présidente du centre de gestion d’Ille-et-Vilaine (CDG35), le 14 septembre lors de la signature d’une convention avec le syndicat mixte Mégalis (64 collectivités EPCI, 3,33 millions d’hab.). Le but : offrir une offre coordonnée et optimisée financièrement.

Pour mettre en place la cybersécurité dans les 300 collectivités du département, le CDG 35 se repose sur l’équipe de quatre personnes déjà dédiée à la mise en conformité au règlement général de la protection des données (RGPD). Mégalis, de son côté, met à disposition des outils pédagogiques et des parcours d’audits adaptés aux petites collectivités. Le syndicat mixte, qui rassemble toutes les intercommunalités de la région Bretagne, est en train de signer des conventions similaires avec les autres CDG de la région.

« Accompagner les collectivités sans nous substituer au privé »

En Ille-et-Vilaine, le CDG 35 avait d’abord pensé mettre en place un système d’assurance pour les collectivités victimes d’une attaque. « Une mauvaise idée, juge la présidente Chantal Pétard-Voisin a posteriori. Pour éviter les vols de données, il faut d’abord fermer les portes et les fenêtres avant de réfléchir à s’assurer. La première chose à faire est de sensibiliser, en particulier dans les petites communes, puis de faire une montée en puissance. Le simple fait d’écrire un cahier des charges est déjà compliqué. Nous allons donc accompagner les collectivités sur ce point, sans nous substituer au secteur privé ». La mise en conformité devra donc se faire par d’autres biais, après publication d’un marché public.

Avant d’en arriver là, le CDG 35 et Mégalis proposent un parcours de trois mois pour sensibiliser les élus et les agents. Cette période permet de faire une réunion d’explication puis de réaliser des campagnes de faux « hameçonnages », ces mails ou SMS qui cherchent à récupérer les mots de passe et identifiants. « Au bout de trois mois, nous donnons les résultats de la campagne ainsi que des modules de E-learning (NDR : cours en ligne), un kit documentaire et des fiches d’actions à réaliser », détaille un agent de Mégalis. La collectivité est également accompagnée pour réaliser son plan de gestion des risques cyber, c’est-à-dire le document pour permettre aux services de continuer de fonctionner lors d’une attaque informatique. Une première intercommunalité, Bretagne Romantique (25 communes, 35 523 habitants) a déjà commencé cette formation.