Les collectivités, engagées dans une transformation numérique, source de formidables opportunités comme de risques accrus, sont devenues les cibles d’attaques de plus en plus nombreuses. Alors que l’attention est centrée sur les établissements de santé, il est essentiel de prendre en compte les besoins de ces acteurs territoriaux, en manque de moyens humains et financiers pour assurer comme il se doit la sécurité de leurs systèmes d’information.
Dans le cadre de France Relance, l’Anssi a bénéficié d’une enveloppe de 60 millions d’euros pour renforcer la sûreté informatique des collectivités et élever leur niveau de sécurité en leur donnant l’impulsion financière nécessaire. Mais ce plan a été fondé sur la capacité de ses bénéficiaires à poursuivre les actions dans la durée. Or une fois les faiblesses et les priorités définies, avec quels moyens passer à l’action, notamment pour les plus petites communes ? Car outre le manque de budget, elles sont confrontées à un manque de moyens humains. Comment trouver des talents motivés pour devenir RSSI d’une collectivité alors que le marché de l’emploi sur ce secteur est porteur d’offres dont les missions et la rémunération sont bien plus attrayantes ?
Le travail de l’Anssi s’arrête malheureusement à ce jour au fait d’émettre des recommandations, alors même que notre police cyber est réduite à sa plus simple expression. Pourtant, les attaques ciblant les collectivités sont un problème de société. Ne serait-ce donc pas un sujet régalien ? La situation est ubuesque si on la transpose à la sécurité physique : cela revient à demander aux collectivités d’être aussi efficaces que le GIGN pour réaliser un travail de sécurisation en lieu et place de l’Etat… Ce dernier doit traiter le problème à la source, à travers des actions de police cyber et ne pas seulement agir sur les conséquences tel un pompier désemparé. L’erreur, cependant, serait de légiférer et d’instaurer des moyens de coercition à l’encontre des collectivités dont l’hygiène informatique ne serait pas suffisante.
Incitation et mutualisation
La clé réside plutôt dans l’incitation et la mutualisation : l’incitation peut passer par le conditionnement des aides de l’Etat à la garantie d’un paysage propre du système d’information de la commune.
La mutualisation peut se faire par les centres d’urgence cyber, mais doit aussi être pensée en amont, par exemple au travers des établissements publics de coopération intercommunale, via la création de postes partagés de RSSI ou de délégué à la protection des données. Une expertise que les plus petites communes ne peuvent par ailleurs acquérir seules. Au-delà de l’échelle intercommunale, l’agrégation des données autour d’un centre de ressources numériques territorial est à encourager. Le regroupement de fonctions métier (notamment DSI) devra y être soutenu financièrement.
La santé est sur le devant de la scène en termes d’actualité cyber, mais ce domaine a également beaucoup à nous apprendre en matière d’incitation et de mutualisation. Alors, inspirons-nous en et passons à l’action, car il est grand temps de mieux sécuriser nos collectivités !
