En France, 34 640 communes sur 34 945 ont moins de 25 000 habitants au 1er janvier 2023. Deux Français sur trois y habitent.
La menace cyber concerne toutes les collectivités territoriales. Une cyberattaque peut être lourde de conséquences, tant pour les administrations que pour les administrés (interruption de service, perte de données ou perte financière…).
Selon l'étude sur la cybersécurité dans les collectivités de moins de 25 000 habitants publiée le 20 novembre 2023, 78% des communes ont été sensibilisées au moins une fois au cours des douze derniers mois. Pourtant, les budgets ne répondent pas aux besoins cyber et 64% des élus et agents plébiscitent la sensibilisation comme besoin prioritaire.
Des collectivités exposées, des conséquences importantes
Selon l'étude de Cybermalveillance.gouv.fr, une collectivité sur dix déclare déjà avoir été victime d'une ou plusieurs attaques au cours des douze derniers mois. L'hameçonnage représente 46% des cyberattaques. En deuxième position des attaques identifiées, on trouve le téléchargement d'un virus (17%).
Les cyberattaques sont de plus en plus fréquentes. Les conséquences peuvent aller jusqu'à :
- l'interruption des activités et des services (40%) ;
- la destruction de données (20%) ;
- une perte financière (20%).
Si 42% des collectivités s'estiment exposées aux risques de cyberattaques, 20% d'entre elles, la plupart de petites communes, ne savent pas évaluer leur niveau d'exposition.
Les collectivités sont sensibilisées au sujet : 67% des élus et agents pensent que la cybersécurité est l'affaire de tous et 78% ont déjà été sensibilisés au moins une fois à la sécurité informatique sur les douze derniers mois. Toutefois, seules 14% des collectivités se disent préparées en cas d'attaque et 19% disposent d'une procédure de réaction.
Des collectivités qui s'équipent, mais aux moyens limités
Les trois quarts des collectivités interrogées confient leur sécurité à un prestataire (entièrement pour 50% d'entre elles). Une collectivité sur cinq ne sait pas ce qu'il en est ou n'assure aucune gestion de sa sécurité informatique.
La plupart des collectivités (94%) sont dotées de trois dispositifs de sécurité en moyenne :
- sauvegardes (85%) ;
- antivirus (85%) ;
- pare-feu (62%).
Toutefois, les moyens des collectivités restent limités :
- 80% disposent de moins de dix postes informatiques ;
- 6% disposent de plus de 50 postes (les communes de plus de 5 000 habitants) ;
- 75% des élus et agents dépensent moins de 2 000 euros pour la cybersécurité (84% dans les collectivités de moins de 1 000 habitants et 79% dans les collectivités n'ayant pas perçu les impacts potentiels des cyberattaques).
En dépit de la conscience des menaces, seules 12% des collectivités interrogées comptent faire évoluer leur budget cyber à la hausse. Ces moyens limités entraînent des usages à risques pour les collectivités :
- 46% ne fournissent ni téléphone ni tablette à leurs agents ;
- 35% seulement équipent leurs agents d'un téléphone professionnel exclusivement ;
- 62% des élus et agents utilisent des équipements personnels dans un cadre professionnel.
