L’essor de la transformation numérique s’accompagne inéluctablement par une multiplication des risques. Et même si elle offre des opportunités formidables pour l’ensemble des acteurs, les communes et l’intercommunalité sont dans le viseur des cybermalfaiteurs au même titre que les entreprises privées. C’est ce que veut faire comprendre l’AMF, l’Association des maires de France, aux élus et à leurs services quant aux risques numériques. Elle publie pour cela et avec la participation de l’ANSSI, un guide pour les communes et l’intercommunalité intitulé « Cybersécurité : toutes les communes et intercommunalités sont concernées ».
Il faut dire que les risques sont prégnants et le ton direct employé par Guillaume Poupard, le directeur général de l’ANSSI, dans son introduction ne laisse pas de doute sur l’urgence de la prise de conscience : « S’il est de plus en plus difficile de dire “Je ne savais pas” et qu’être victime d’attaque informatique ne doit pas être “honteux”, il est en revanche de votre responsabilité de prendre en compte ces enjeux au juste niveau et de décider la mise en œuvre des mesures de sécurité numérique nécessaires ».
Quatre chantiers à lancer en priorité
Pour ses rédacteurs l’objectif n’est pas seulement de tirer la sonnette d’alarme ou d’analyser les menaces, mais, plus important encore, de proposer des recommandations. Car, comme l’explique Guillaume Poupard : « une fois réalisée la prise de conscience de l’importance du sujet, il est complexe d’évaluer précisément les risques, de prioriser les mesures à mettre en œuvre, d’identifier et de mobiliser les ressources adéquates (expertises, budget, etc.) ».
Par conséquent, les communes et les intercommunalités doivent s’organiser pour répondre à ces nouveaux enjeux. Pour ce faire, elles doivent, selon le guide, entreprendre sans tarder quatre chantiers.
1La conduite du changement et la sensibilisation des agents
Le comportement humain étant un facteur multipliant ou réduisant les risques, cet aspect devient prioritaire pour mener une vraie politique de sécurité numérique et de protection des données.
2La vision claire des systèmes d’information employés et leur pertinence en termes d’activités et de services rendus
Pour y parvenir, il faut établir un inventaire patrimonial des systèmes d’information, des installations matérielles, et des applications, sous la forme d’une cartographie, s’interroger sur le risque numérique généré par chacun d’entre eux et enfin élaborer un plan d’action de réduction des risques.
3L’analyse des clauses contractuelles des marchés de prestations informatiques intégrant ou pas le risque numérique
4L'élaboration d’un plan de crise
Les victimes de cyberattaques sont souvent confrontées à la fois à la gestion d’impacts immédiats et à la mise en place de réponses pérennes. L’existence de plans ou de procédures de continuité et de reprise d’activité est cruciale dans le cas d’une crise d’origine numérique.