La cybersécurité est l’affaire de tous. Y compris des communes – même les plus petites – qui sont également des cibles pour les cyberattaquants. La 3e édition du baromètre de la maturité cybersécurité des communes françaises (dont 72 % de 1 000 habitants et moins) mené par Opinionway pour le compte de Cybermalveillance.gouv.fr apporte sur le sujet plusieurs indicateurs très intéressants. 54 % des communes déclarent ne pas être préparées en cas d’attaque et la moitié ne disposent pas d’un plan de reprise ou de continuité d’activité. Et ce alors que 98 % d’entre elles redoutent de la destruction/vol de données et de l’interruption d’activités et de services en cas de cyberattaque.

« 1 collectivité sur 10 déclare avoir été confrontée à un incident de sécurité informatique dans l’année, un score qui ne diminue donc pas. Des incidents surtout liés à de l’hameçonnage ; ce dernier même si moins cité, demeure en effet de loin l’attaque la plus fréquente. Des attaques dont 45% des répondants déclarent ne pas en connaître les causes », peut-on lire dans le baromètre. « Les collectivités de moins de 1 000 habitants sous-estiment davantage les risques de cyberattaque malgré leur plus faible taux d’équipement. » Paradoxalement, seulement 39 % des communes françaises estiment leur niveau d’exposition aux attaques faible (+ 6 points par rapport à 2023) contre 33 % qui avancent que ce risque est élevé (- 4 points). Une situation qui s’expliquerait par le fait que les communes sont de plus en plus nombreuses à déclarer avoir un bon niveau de protection. Par conséquent, elles considèrent qu’elles sont moins exposées aux risques, et que nombre de petites collectivités « se sentent plus éloignées des situations à risque et dont le diagnostic est faussé. »

Des solutions avant la sensibilisation

Excès de confiance et sentiment d’être éloignées des risques cybersécurité amènent-ils les petites communes françaises à négliger leurs investissements en cybersécurité ? Ou peut-être qu’elles voudraient investir plus mais n’en n’ont-elles pas les moyens ? Quoi qu’il en soit il ressort que les budgets consacrés à la sécurité informatique sont dans la fourchette basse. Et encore : 77 % des collectivités consacrent moins de 2 000 € à la sécurité informatique, une proportion qui grimpe à 77 % pour celles considérant avec une exposition aux risques faible. 7 % indiquent un budget entre 2 000€ et 4 999 €, 2 % entre 5 000 € et 9 999 € et 2 % entre 10 000 et 20 000 €. Seulement 1 % déclarent un budget supérieur à 20 000 € alors que 11 % ne savent pas l’évaluer. Ces budgets devraient peu bouger l’an prochain (66 % des répondants indiquent qu’il n’évoluera pas, 10 % qu’il sera en hausse et 1 % en baisse tandis que 23 % ne savent pas.)

En termes de destination du budget, 90 % est fléché vers des solutions techniques et des équipements de sécurité, 31 % vers des actions de sensibilisation et 7 % pour d’autres usages. Parmi les dispositifs en place, arrivent en tête l’anti-virus (88 %) suivi de près par les sauvegardes (85 %), et les pare-feux (61 %). Plus loin, on trouve une politique de mot de passe (41 %), un gestionnaire de mots de passe (22 %), du MFA (11 %) ou encore un SOC (8 %), ou de la détection d’attaque type XDR (6 %). A noter que la gestion de la sécurité informatique est très largement externalisée (50 %) et à 12 % seulement internalisée, le modèle mixte représentant 20 % des cas et que pour 11 % cette gestion est tout simplement inexistante et que 7 % des répondants n’en savent rien. Enfin, on aurait pu penser que plusieurs événements externes d’importance comme les JO ou encore NIS 2 auraient pu influencer le renforcement de la politique cybersécurité des communes mais il s’avère que cela n’a pas été du tout le cas : seulement 3 % indiquent que les JO 2024 ont une influence pour renforcer leur politique cybersécurité, à égalité avec NIS 2.