Les collectivités territoriales sont les cibles privilégiées des cybercriminels depuis le début de la crise sanitaire. En 2020, au moins 67 collectivités ont été touchées par des cyberattaques d’après la Gazette des communes.
Les attaques sont très variées : demande de rançon (rançongiciel), email incitant au partage d’informations confidentielles (hameçonnage), intrusion et défiguration d’un site internet d’une commune pour y faire apparaître des messages insultants…Les exemples sont légion.
En novembre 2020, l’Agence Nationale de sécurité des systèmes d’information (ANSSI) et l’Association des Maires de France (AMF) ont publié un guide de cybersécurité à destination des communes. Outre les bonnes pratiques et recommandations qu’il contient, ce guide vise avant tout à mettre les élus face à leurs responsabilités et les invite à repenser leur stratégie en matière de risques numériques. Le premier frein dans la mise en place de la sécurité numérique est un frein financier, c’est pourquoi le guide souligne la possibilité pour les collectivités de mutualiser les services de sécurité numérique et d’ainsi réduire leurs coûts.
Référentiel général de sécurité des collectivités territoriales
La cybersécurité n’est pas un enjeu nouveau et les collectivités territoriales doivent suivre un référentiel général de sécurité pris en application des textes suivants :
– Ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
– Décret 2010-112 du 2 février 2010 portant application des articles 9, 10 et 12 de l’ordonnance n° 2005-1516 du 8 décembre 2005 relative aux échanges électroniques entre les usagers et les autorités administratives et entre les autorités administratives.
– Arrêté du 13 juin 2014 portant approbation du référentiel général de sécurité et précisant les modalités de mise en œuvre de la procédure de validation des certificats électroniques.
– Arrêté du 10 juin 2015 portant prorogation des délais de mise en œuvre du référentiel général de sécurité.
Néanmoins, la crise sanitaire a entrainé en catastrophe et sans cadre précis une numérisation du service public et la mise en place du télétravail des agents, ce qui a favorisé l’essor des risques numériques.
La sensibilisation et formation des agents aux risques numériques est vitale. L’erreur humaine est une des premières causes des cyberattaques.
Combien d’agents ont cliqué malencontreusement sur un lien malveillant reçu par email, ayant donné accès au système informatique de leur commune ?
Par ailleurs, selon le type de cyberattaque, les données personnelles des administrés peuvent être affectées.
Par conséquent, si la réglementation en matière de cybersécurité garantit que les organisations adoptent des pratiques de cybersécurité solides, la réglementation sur la protection des données personnelles garantie que les organisations prennent également des mesures organisationnelles et techniques solides pour assurer la sécurité des données personnelles, dans un environnement numérique.
Le cadre juridique de protection des données personnelles :
– La loi Informatique et Libertés du 6 janvier 1978
– Le Règlement européen 2016/679 du 27 avril 2016, dit règlement général sur la protection des données (RGPD)
Pour être conforme en matière de protection des données personnelles, une collectivité territoriale traitant des données personnelles doit :
1) Désigner un délégué à la protection des données (elle peut avoir recours à une convention de mutualisation avec d’autres collectivités : plusieurs collectivités vont alors profiter des services du même professionnel)
2) Recenser ses données, faire le tri et tenir à jour un registre des traitements
3) Informer les administrés de comment et pourquoi elle traite leurs données et quels sont leurs droits (rédiger une politique de protection des données)
4) Sécuriser les données par des mesures techniques et organisationnelles :
–> mise en place d’une charte informatique (document juridique nécessitant l’aide d’un juriste ou avocat), mise en place d’habilitations et de mots de passe robustes conformément aux recommandations de l’ANSSI
5) Revoir ses contrats avec ses sous-traitants et les encadrer par des clauses propres à la protection des données et à la sécurité des systèmes d’information / Intégrer les obligations relatives à la protection des données dans les marchés publics
6) Réaliser des analyses d’impact pour les traitements présentant des risques pour les droits des personnes
7) Notifier la CNIL sous 72H00 (ainsi que les administrés selon le cas, dans les meilleurs délais) en cas de cyberattaque affectant des données personnelles
Si une collectivité territoriale est victime d’une cyberattaque affectant des données personnelles et qu’elle n’a pas notifié la CNIL et/ou les personnes concernées, elle risque jusqu’à 10 millions d’euros d’amende (article 83 du RGPD).
La responsabilité pénale de l’élu pourra également être envisagée si la cyberattaque est due à sa négligence.
Il est recommandé aux communes d’adopter les mesures juridiques et organisationnelles suivantes pour assurer leur cybersécurité en amont et réduire les risques de cyberattaques ; il faut également voir en aval comment réagir en cas de cyberattaque :
Juridique :
En amont :
– S’assurer d’être à jour concernant la documentation obligatoire en matière de protection des données personnelles ;
– Mener des analyses d’impact en cas de traitement présentant un risque élevé pour les droits des personnes ;
– Rédiger une charte informatique encadrant les règles d’hygiène informatique ;
– Revoir les contrats avec les prestataires pour s’assurer des obligations mises à la charge des prestataires ainsi que des mesures techniques de sécurité informatique mises en place ;
– Souscrire à une assurance cyber.
En aval :
– Notifier la CNIL et tenir un registre des violations de données ;
– Notifier les personnes concernées le cas échéant ;
– Déposer plainte.
Gouvernance et organisation :
En amont :
– Nommer un délégué à la protection des données ;
– Établir un plan de crise (plan de continuité d’activité, plan de communication) ;
– Mettre en place un réseau de référents locaux en matière de sécurité numérique ;
– Informer et sensibiliser ses agents au quotidien avec des exercices de mise en situation.
En aval :
– Réunir la cellule de crise pour désigner une personne en charge de la communication interne et externe ;
– Accompagner les agents victimes de la cyberattaque et faire un retour d’expérience à l’ensemble des agents pour les sensibiliser ;
– Notifier l’assurance.
Une approche méthodique et organisée permettra aux élus de prévenir et/ou guérir le plus rapidement possible et d’ainsi minimiser les risques d’atteinte à leur image et réputation. Les élus doivent s’entourer d’équipes techniques et juridiques spécialisées dans le domaine de la sécurité numérique pour s’assurer de mettre en place une bonne hygiène numérique.
Katia BEIDER
Avocate en droit du numérique
Sacha GAILLARD
Maire-adjoint Ville de Saint-Cloud
Président-fondateur d’EspriTerritoires
Chef de Projet Digital