Comme certaines entreprises privées, les collectivités minimisent les risques cyber. À l’occasion du 105e Congrès des maires et présidents d’intercommunalité de France, Cybermalveillance.gouv.fr a publié sa deuxième étude sur la maturité des collectivités en matière de cybersécurité.
Il en ressort que près d’une collectivité sur deux (42 %) s’estime exposée aux menaces, particulièrement celles de plus de 10 000 habitants. Néanmoins, 20 % des communes ne sont pas en mesure d’estimer leur exposition aux risques.
Un constat d’autant plus inquiétant que les conséquences des attaques sont pourtant loin d’être anodines et peuvent conduire élus, agents et administrés à des conséquences lourdes.
Sensibilisées, mais avec peu de moyens
Ainsi, 40 % des collectivités victimes témoignent d’une interruption de service ou d’activité, 20 % de perte de destruction de données ou de perte financière.Pourtant, les collectivités semblent être plus sensibilisées à la cyber et à ses enjeux. En effet, si en 2021, seul un tiers des collectivités déclaraient avoir été sensibilisées au sujet cyber, 78 % indiquent l’avoir été au moins une fois au cours des douze derniers mois, et une sur 3 de façon régulière.
On constate d’ailleurs que 94 % d’entre elles indiquent être aujourd’hui équipées en moyenne de trois dispositifs de sécurité, avec un trio de tête sauvegardes-antivirus- pare-feu. Mais si les collectivités déclarent être plus sensibilisées et dotées de solutions de sécurité, 18 % d’entre elles ne savent pas évaluer leur niveau de protection.
Malgré ces perceptions plutôt favorables, force est de constater que les moyens des collectivités restent limités. Si 65 % des collectivités allouent moins de 5 000€ à leur budget informatique, 75 % des élus et agents indiquent dépenser moins de 2 000€ pour la cybersécurité.
Manque de connaissances en cyber
Et malgré leur conscience des enjeux, seuls 12 % d’entre elles prévoient une évolution des budgets cyber à la hausse. Un chiffre qui augmente notamment pour les communes ayant subi une attaque (23 %).Ces choix budgétaires ne sont pas sans conséquence. Ils permettent d’expliquer d’autant plus facilement la façon dont les élus et les agents s’adaptent face à ces arbitrages.
D’une part en termes de comportement, avec une forte porosité des usages « pro-perso » : ainsi 62 % des collectivités affirment avoir recours à des équipements personnels dans un cadre strictement professionnel. D’autre part, en termes de perception : 53 % des communes se disent non préparées face à une attaque.
Quand on les interroge sur les principaux freins qui les empêchent d’acquérir un bon niveau de sécurité, 92 % des collectivités en citent au moins un. Le manque de connaissances en cyber (45 %), l’absence de ressources dédiées (38 %), de temps et de budget (34 %) étant les principales.
Et en complément, en termes d’attentes, c’est la sensibilisation qui fait consensus, tant auprès des agents que des élus à 64 %. Viennent ensuite les outils et les solutions, plébiscités à 55 %, ainsi que la demande diagnostic et de conseils à 51 %.
