Les collectivités françaises vulnérables face aux cybermenaces ?
La cybersécurité est devenue l’affaire de tous : entreprises, associations, administrations, particuliers, et bien sûr collectivités.
Pour dresser un constat actualisé du sujet, la plateforme Cybermalveillance.gouv.fr a commandé à OpinionWay une étude sur la maturité des collectivités françaises en matière de cybersécurité.
Les résultats de cette étude, réalisée auprès de 1710 élus et agents de communes de moins de 25 000 habitants, ont été présentés à l’occasion du Salon des Maires et des Collectivités le 19 novembre 2024.
Le sondage montre que, malgré des efforts notables, la vulnérabilité des collectivités françaises demeure importante dans un contexte de menaces croissantes.
Les petites communes, en particulier, sous-estiment encore trop souvent les risques liés au numérique et/ou ne disposent pas des moyens humains et financiers pour y faire face.
Collectivités locales et cybersécurité : état des lieux
Un maillage de très petites communes rurales
Avant toute chose, il est important de bien comprendre le paysage des collectivités françaises concernées par l’étude commandé par Cybermalveillance.gouv.fr.
70% des communes françaises de moins de 25 000 habitants (la cible du sondage) comptent moins de 1 000 habitants.
Ces communes sont pour la plupart rurales, emploient en général moins de 10 agents et disposent donc de moins de 10 ordinateurs.
Elles ne disposent donc évidemment pas d’un personnel dédié à la sécurité de leurs systèmes d’information à même de les guider dans ce domaine.
Les cybermenaces sous-estimées par les petites communes
Du fait de leur taille et de leur organisation, de nombreuses collectivités continuent de sous-estimer leur exposition aux cybermenaces.
Selon le baromètre, près de la moitié des communes de moins de 300 habitants se considèrent peu à risque.
Paradoxalement, beaucoup de collectivités se sentent vulnérables face aux cybermenaces. Seulement 14 % des communes estiment être suffisamment préparées en cas d’attaque.
Visuel : AvantdeCliquer.com
Les collectivités régulièrement ciblées par des cyberattaques
De fait, les collectivités locales figurent parmi les cibles privilégiées des cybercriminels. Selon l’étude, 10 % des communes déclarent avoir été victime d’au moins une attaque au cours des 12 derniers mois.
Parmi les vecteurs d’attaque on retrouve le téléchargement de virus, la consultation de sites infectés et les failles de sécurité non corrigées.
Mais c’est bien le phishing (ou hameçonnage) qui est sans surprise la méthode la plus utilisée pour pénétrer les systèmes d’information avec 30 % des cas. Un chiffre qui cache une réalité plus élevée encore car 45 % des sondés ne connaissent pas la cause de l’attaque subie.
Les élus et les agents, souvent peu sensibilisés, deviennent des cibles faciles. Une formation insuffisante aggrave la situation, en laissant ces acteurs vulnérables face aux tentatives de phishing.
AvantdeCliquer accompagne les collectivités locales dans la lutte contre le phishing. Cliquez ici pour en savoir plus.
Les collectivités inégalement et insuffisamment protégées
Généraliser les fondamentaux de la cybersécurité
Face à ces constats, le premier rempart est bien entendu d’investir dans des systèmes de cybersécurité.
Une large majorité des communes est dotée d’anti-virus, de pare-feu et d’une solution de sauvegarde, trois piliers essentiels de la cybersécurité.
En revanche elles restent trop peu nombreuses à appliquer une politique de mot de passe robuste et encore moins nombreuses à utiliser la double authentification.
Compartimenter les usages personnels et professionnels
L’étude souligne également que l’utilisation d’équipements personnels est très répandue, notamment pour des questions budgétaires.
Parmi les équipements individuels utilisés dans le cade communal on retrouve les téléphones portables, les ordinateurs, les clés usb et les messageries électroniques.
On perçoit bien que la séparation entre la sphère privée et la sphère professionnelle n’est pas acquise en matière d’outils numériques.
Or cela peut être une faille exploitée par des pirates informatiques.
Former les élus et agents locaux à la cybersécurité
La sensibilisation est un point fondamental pour renforcer la résilience des collectivités face aux cybermenaces. Former les élus et agents locaux aux bonnes pratiques peut considérablement réduire le risque de succès des cyberattaques.
La formation permet d’inculquer une culture cyber chez les utilisateurs. Ils seront alors à même d’identifier les e-mails suspects et les signaux d’alerte (expéditeur inconnu, fautes d’orthographe, liens douteux) afin d’échapper aux tentatives de phishing.
La sensibilisation des élus et des agents ressort d’ailleurs comme un besoin prioritaire pour 62 % des personnes interrogées. Ce alors même que 73 % ont déjà été sensibilisés au moins une fois à la sécurité informatique.
Cela souligne bien l’importance d’une sensibilisation continue et non pas ponctuelle pour lutter efficacement contre les cybermenaces.
Les réticences des collectivités vis-à-vis de la cybersécurité
Des budgets trop serrés pour investir dans la cybersécurité
Le manque de budget consacré à l’informatique explique pour partie les lacunes des collectivités en termes de cybersécurité.
En effet, 73 % des communes allouent moins de 5 000 € par an aux équipements informatiques et 77 % consacrent moins de 2 000 € par an à la sécurité de ces systèmes.
Plus inquiétant encore, l’augmentation des crédits alloués à la cybersécurité ne semble pas être d’actualité pour l’écrasante majorité des collectivités.
En effet, 10 % seulement des communes envisagent une hausse des dépenses dans les prochains mois. Parmi ces dernières, 90 % comptent investir dans des solutions matérielles et seulement 31 % dans des actions de sensibilisation.
Notons également que ce sont les communes de plus de 1 000 habitants qui comptent investir dans la cybersécurité. Les très petites communes, dans leur écrasante majorité, n’ont pas l’intention de le faire.
Un manque de compétences des élus et du personnel
Pour autant, le budget n’est pas la première raison qui empêche les collectivités de mieux protéger leurs systèmes d’informations.
C’est en effet le manque de connaissances qui ressort dans près de la moitié des cas. Une donnée confortée par le fait que 70 % des personnes questionnées ne se sentent pas en mesure d’évaluer la pertinence des offres de cybersécurité.
Il convient également de relever que pour 16 % des sondés la cybersécurité n’est pas un sujet prioritaire et que pour 9 % le sujet ne les concerne tout simplement pas.
On le voit, la prise de conscience est encore inégale, surtout dans les petites communes. Raison pour laquelle l’accompagnement et la sensibilisation sont des facteurs clefs.
Un besoin d’accompagnement face aux cybermenaces
On l’a vu, la majorité des petites et moyennes communes ne se sentent pas compétentes pour traiter des questions de cybersécurité.
Elle se tournent alors principalement vers leur prestataire informatique et vers les services territoriaux de l’État (Gendarmerie, Police, Préfecture) pour trouver conseil.
Le guichet unique Cybermalveillance.gouv.fr n’est perçu comme un interlocuteur privilégié que pour 13 % des collectivités. C’est pourtant un acteur essentiel pour les accompagner dans la sécurisation de leurs systèmes informatiques ou pour les conseiller en cas d’attaque.
Cybermalveillance.gouv.fr peut notamment mettre en relation les demandeurs avec des prestataires labellisés.
Notons enfin que ce service est surtout utilisé par les collectivités de plus de 10 000 habitants, et reste très peu utilisé par les plus petites communes (9 %).
Conclusion : faire de la cybersécurité une priorité pour les collectivités
Les cybermenaces ne sont pas une fatalité. En investissant dans la sensibilisation, notamment face au phishing, et en mobilisant des ressources adaptées, les collectivités françaises peuvent améliorer leur résilience face aux attaques informatiques.
Cependant, le défi reste considérable, en particulier pour les petites collectivités qui continuent de sous-estimer leur exposition et manquent de moyens financiers et humains pour se protéger efficacement.
Il est pourtant urgent de considérer la cybersécurité comme un aspect essentiel et prioritaire, y compris pour les petites communes. Élus, agents et prestataires ont un rôle à jouer pour anticiper, détecter et réagir face aux menaces.
Les collectivités ne peuvent se permettre de rester vulnérables dans un monde de plus en plus numérique. La prise de conscience, associée à des mesures concrètes, est la clef d’un avenir plus sécurisé.
Source : Étude réalisée par OpinionWay pour Cybermalveillance.gouv.fr du 26 août au 4 octobre 2024
Téléchargez les guides gratuits sur la cybersécurité des collectivités locales en cliquant ici.
FAQ : Cybersécurité des collectivités locales
1. Pourquoi les collectivités locales sont-elles ciblées par des cyberattaques ?
Les collectivités locales manipulent des données sensibles et sont souvent mal protégées en raison de budgets limités et d’un manque de personnel qualifié en cybersécurité. Ces vulnérabilités en font des cibles de choix pour les cybercriminels, notamment via des attaques comme le phishing ou les ransomwares.
2. Quelles sont les principales conséquences en cas de cyberattaques pour les communes ?
Les principales conséquences des cyberattaques sont :
- La destruction ou le vol de données sensibles
- L’interruption des services informatiques
- Une perte financière
- Une atteinte à la réputation de la collectivité
3. Comment les petites communes peuvent-elles se protéger avec un budget limité ?
Même avec des ressources limitées, il est possible de renforcer la cybersécurité :
- Installer un antivirus et un pare-feu.
- Former régulièrement les élus et agents locaux aux bonnes pratiques (sensibilisation au phishing notamment, la principale porte d’entrée des hackers).
- Mettre en place la double authentification pour accéder aux systèmes sensibles.
- Faire appel au guichet unique Cybermalveillance.gouv.fr.
- Prendre contact avec AvantdeCliquer pour réaliser un audit de vulnérabilité (Phishing Pentest)
4. Pourquoi est-il important de former les élus et agents à la cybersécurité ?
Les élus et agents sont souvent la première ligne de défense contre les cyberattaques. Une formation adaptée leur permet de :
- Identifier les e-mails frauduleux et les liens douteux.
- Réagir rapidement en cas de suspicion d’attaque.
- Adopter des pratiques sécurisées au quotidien.
5. Quels sont les premiers réflexes à avoir en cas de cyberattaque ?
En cas d’attaque :
- Déconnecter immédiatement du réseau les systèmes concernés pour limiter les dégâts.
- Informer votre prestataire informatique et les autorités compétentes (Gendarmerie, Cybermalveillance.gouv.fr).
- Ne jamais payer une rançon en cas de ransomware.
6. Existe-t-il des aides ou des outils pour accompagner les communes ?
Oui, plusieurs ressources sont disponibles :
- Le site Cybermalveillance.gouv.fr propose des outils, des guides et un accompagnement en cas d’incident.
- Des prestataires labellisés peuvent fournir des solutions adaptées.
- Certaines régions ou l’État proposent des subventions pour améliorer la cybersécurité des collectivités.
7. Quels sont les outils et bonnes pratiques essentiels pour sécuriser les systèmes informatiques communaux ?
Les outils de base incluent :
- Un antivirus mis à jour régulièrement.
- Un pare-feu pour protéger le réseau.
- Une solution de sauvegarde régulière des données.
- La double authentification pour limiter les accès non autorisés.
- Une politique de mots de passe robustes
- Une sensibilisation continue au phishing
- Utiliser des équipements exclusivement dédiés à la collectivité (ordinateurs, téléphones, clés usb, adresses de messagerie, etc.).
Contactez-nous et découvrez comment AvantdeCliquer peut protéger votre commune contre les cybermenaces.
DSI, RSSI, DPO, demandez une démonstration gratuite de la solution totalement automatisée de sensibilisation au phishing :
