La numérisation des documents administratifs se démocratise. Résultat, les collectivités détiennent une fontaine d’informations personnelles sur non seulement les concitoyens mais aussi les élus. Parmi les données privées ou sensibles, commençons par les états-civils, les justificatifs de domicile, les données fiscales, les inscriptions en établissement scolaire ou bien même certains résultats de vote électronique. Défaçage de site, vol de données confidentielles, attaque en déni de service (une action qui consiste à bloquer l’accès aux serveurs et ainsi le fonctionnement des services qui en dépendent), chantage à l’information, manipulation des données… Voici les dégâts que pourrait provoquer le passage d’un hacker.
Depuis les attentats de Charlie Hebdo, près de 20.000 sites ont subi des attaques,comptabilisait notre confrère Ouest France en mars dernier. « Ces attaques [terroristes N.D.L.R.], réduites pour l’instant, visent essentiellement la diffusion de messages politiques. Mais quid demain d’une intrusion dans le réseau informatique d’une collectivité en vue d’un vol massif d’identités ? », s’inquiète Jimaan Sané, souscripteur cyber-risque chez l’assureur Beazley. Dans ce contexte, la question se pose de savoir si les collectivités sont bien préparées à l’imminence d’une cyberattaque. A cet égard, Primo France, une association dédiée à la gouvernance et à la gestion du risque public, a conduit une enquête portant sur l’exposition des collectivités publiques locales au cyber-risque.
Pour mener à bien cette analyse, un questionnaire en ligne a été envoyé à une centaine de collectivités françaises, à savoir des villes (60%), des Conseils généraux (8%), des Etablissements publics de coopération intercommunale (EPCI) à 20%, et des Etablissements publics à caractère industriel et commercial (EPIC) à 10 %. Il en a résulté un rapport pour le moins inquiétant, constatant que les collectivités n’étaient pas du tout préparées à ces risques et éprouvaient de grandes difficultés à atteindre un niveau minimum de protection de leurs données. Si ces collectivités sont bien conscientes des conséquences que pourrait engendrer une cyberattaque, elles ne se sont pas pour autant donné les moyens de se protéger. Ainsi a-t-il été observé que pour 15% des collectivités sondées, le site public avait été créé par un agent, contre 70% par un prestataire, tandis que 5% n’ont pas de site internet et que 10% ne sont simplement pas au courant de la paternité du site sur lequel sont postées leurs informations !
Il faut savoir qu’il existe toujours une certaine méconnaissance chez les collectivités de leur propre parc et réseau informatique. De fait, seulement 15% des sondés ont pris connaissance de l’existence d’un correspondant informatique et libertés (CIL) ou d’un agent responsable de la protection des données, 85% ne savent même pas s’il existe un agent affecté à cette problématique. De même, alors que 35% des sondés avouent héberger des données sensibles et privées sur leurs administrés et leurs élus, pas une seule des collectivités interrogées n’a recouru au cryptage des données. 5% ne savent pas si cette possibilité existe, tandis que les 95% restants ne l’utilisent pas.
« Au déficit de protection s’ajoute le manque de formation du personnel aux risques informatiques. Par manque de budget, d’expérience et souvent de compétences dans ce domaine, les collectivités locales ne sont globalement pas assez protégées pour faire face à la menace de piratage », explique Jimaan Sané. On peut donc s’interroger sur la capacité des élus à réagir pertinemment face à une situation de crise informatique. « En matière de cybersécurité, le risque zéro n’existe pas. Il est de la responsabilité des élus d’agir en premier lieu sur leur capacité à pouvoir réagir vite et contenir les effets d’une perte massive de données. Ceci implique de mettre en place rapidement une cellule de crise orchestrant l’intervention en urgence d’experts informatiques dans le but de corriger la faille du système et de surveiller le web à la recherche des données subtilisées. »
Ségolène Kahn
Commentez