Ma contribution au livre du Cyber Cercle

En tant que Présidente de la Commission Supérieure du Numérique et des Postes, j'ai été amené à contribuer au livre collectif du CyberCercle.

Cet opus est consacré aux collectivités, un des axes majeurs de la réflexion et de l’action du CyberCercle depuis 2015, et dont les enjeux en matière de sécurité numérique sont à la hauteur des défis de la transformation numérique dans laquelle elles sont aujourd’hui engagées.

 

Retrouvez ma contribution ci-dessous :

Les enjeux de la sécurité numérique pour les collectivités françaises : prévenir, former et agir

 

Parce qu’elle est composée de députés et de sénateurs[1], élus de circonscriptions urbaines, de zones rurales ou de montagnes, la Commission supérieure du numérique et des postes (CSNP) est en prise directe avec les enjeux de la sécurité numérique dans nos territoires.

La CSNP est peu connue de nos concitoyens alors que notre Commission a pour mission de contrôler les activités liées au numérique et aux activités postales. Elle rend des avis et des recommandations, après audition, saisie ou mission d'information. Ses avis sont adressés au gouvernement, aux administrations et autorités indépendantes.

C’est à ce titre qu’elle a rendu un avis le 29 avril 2021 portant 27 recommandations dans le domaine de la sécurité numérique[2].

Alors que les attaques dans l’espace numérique se sont multipliées à un rythme quasi-exponentiel ces deux dernières années partout dans le monde et que tous les experts auditionnés par notre Commission nous ont fait part de leurs inquiétudes, les membres de la Commission supérieure ont souhaité que plusieurs mesures soient intégrées à la stratégie nationale pour la cybersécurité, présentée par le Président de la République le 18 février 2021, et pilotée par le Secrétaire d’État chargé de la Transition numérique et des communications électroniques.

Le plan d’accélération cyber apporte un certain nombre de réponses à des besoins identifiés en mobilisant des financements importants –1 milliard d’euros dont 720 millions de financements publics – qui devraient permettre de réduire les vulnérabilités des systèmes informatiques de nombreuses infrastructures publiques et privées. 

Les membres de la CSNP considèrent qu’une stratégie nationale pour la sécurité dans l’espace numérique ne peut se limiter au seul plan d’accélération cyber, aussi nécessaire soit-il : le niveau global de la sécurité dans l’espace numérique dont l’État français, les services publics nationaux, les collectivités territoriales, les entreprises et nos concitoyens ont désormais une absolue nécessité de renforcer leurs capacités de lutte contre la cybercriminalité.

Compte tenu de la gravité d’une situation sécuritaire qui ne cesse de se dégrader dans l’espace numérique, la CSNP a souhaité formuler un certain nombre de recommandations concrètes portant sur les cinq champs de progrès identifiés :

-Le renforcement de la lutte contre la cybercriminalité ;

-Les points d’amélioration du plan cyber ;

-La stratégie de cyberdéfense de l’État français ;

-La sécurité des produits et services numériques ;

- Le développement du cloud de confiance ;

 

Plusieurs recommandations concernent les collectivités locales parce qu’elles sont transversales (renforcement des moyens judiciaires et policiers, création d’un cloud de confiance, formation et renforcement de la filière sécurité) mais, encore une fois, parce que nos membres sont des élus de terrain, la CSNP s’est clairement exprimée pour un renforcement de la sécurité numérique des collectivités locales.

 

Un constat : Aujourd’hui, la sécurité numérique des collectivités locales parait nettement insuffisante

En matière de cybersécurité et de sécurité numérique, le risque zéro n’existe pas et n’existera jamais. 

Les géants du numérique sont eux même vulnérables : Microsoft a annoncé, en mars 2021, avoir été victime d’un groupe de hackers baptisé "Hafnium" qui a exploité les failles de sécurité dans ses services de messagerie Exchange pour voler les données de dizaines de milliers d'entreprises, villes et institutions locales aux États-Unis.

Côté pouvoirs publics, les réseaux les mieux protégés sont également victimes d’attaques en France ou à l’étranger.

Qu’en est-il des collectivités locales françaises ? La multiplication et l’ampleur des attaques récentes contre des métropoles ou des villes de taille moyenne (Marseille, Angers, …) laissent imaginer que les collectivités de tailles plus modestes sont également très vulnérables. Le profil de la cybercriminalité a évolué et toutes les collectivités locales sont potentiellement menacées. A l’heure où les rançongiciels se monnayent sur le dark web, particuliers, entités publiques ou privées peuvent être attaqués pour des motifs crapuleux.

Finalement la question n’est pas de savoir si une collectivité locale peut être victime d’une cyberattaque mais plutôt quand et, plus utilement, comment pourra-t-elle y répondre.

Jusqu’à présent les moyens de l’État et de l’ANSSI se sont concentrés sur la protection des opérateurs d'importance vitale (OIV) et des opérateurs de service essentiel (OSE).

Or, les collectivités locales ne font pas partie des OIV ni des OSE. 

Dans le cadre de son plan de relance, l’État a mobilisé une enveloppe de 60 millions d’euros spécifiquement dédiés aux collectivités territoriales mais le dispositif ne concerne que les grandes collectivités : seules les collectivités qui disposent d’un responsable de la sécurité des systèmes d’information (RSSI) pourront bénéficier d’un appui de l’ANSSI. Une centaine seulement de collectivités locales répondent à cette exigence.

Pour les collectivités locales et les établissements publics dont les moyens humains, techniques et financiers sont limités, l’ANSSI les incite à "mutualiser " leurs ressources pour se doter de compétences en la matière et « un plan de sensibilisation est en cours de finalisation avec l’appui de la Gendarmerie nationale ».  Les gendarmes du pôle national de lutte contre les cybermenaces, unité spécialisée créée en 2019 qui compte actuellement 5000 agents et qui pourrait passer à 7000 agents en 2022, devraient réaliser des actions de sensibilisation en collaboration avec l’Association des Maires de France (AMF).

Dans l’immédiat, l’État renvoie les élus locaux vers www.cybermalveillance.gouv.fr pour s’initier à la formation et à la sécurisation du système d’information. 

Par ailleurs, le plan d’accélération cyber prévoit le déploiement dans chaque région d’un CSIRT (Computer Security Incident Response Team - équipe de réponse aux incidents informatiques) incubé avec le soutien de l’ANSSI. Ces CSIRT doivent permettre de réagir plus rapidement et efficacement aux incidents cyber qui peuvent frapper les collectivités territoriales, les structures du tissu sanitaire (hôpitaux, cliniques) et les acteurs du tissu économique local.

 

La CSNP recommande que la création des CSIRT en région se fasse en étroite concertation avec les collectivités territoriales à l’échelle régionale.

Dans son avis n°03/2021 du 29 avril 2021, la CSNP recommande notamment la création dans chaque région d’un campus régional de la sécurité numérique capable de fédérer localement les acteurs de la sécurité numérique, de les faire travailler en réseau, et de sensibiliser l’écosystème public et privé à ces problématiques. 

Ce campus pourrait héberger le CSIRT incubé par l’ANSSI et ainsi constituer un véritable relais de gouvernance régional pour l’ANSSI, au service de tous les départements d'une même région pour un maillage territorial efficace. 

La création de ces campus régionaux pourrait s’appuyer sur l’article L4251-13 du Code général des collectivités territoriales portant sur la nouvelle organisation territoriale de la République, et être inscrite dans les schémas régionaux de développement économique, d'innovation et d'internationalisation.

Pour les membres de la Commission, cette proposition a vocation à constituer :

• Une ressource pour les élus en recherche de solutions opérationnelles, 
• Une instance de gouvernance qui permet de capitaliser sur l’existence et le développement de ressources locales et régionales en matière de sécurité numérique et de cybersécurité
• Une enceinte de coordination des différents services de l’État et des collectivités locales impliquées dans la sécurité numérique,
• Une instance de taille critique pour s’assurer du déploiement des solutions sur l’ensemble du territoire. 

Nous ne pouvons pas laisser sans recours les millions de citoyens qui vivent en dehors de la centaine de municipalités pouvant recourir aux services de l’ANSSI.

 

La période pré-électorale de mai-juin 2021 se prêtait peu aux échanges sur ces schémas avec les principaux intéressés.

Pourtant il y a urgence et je me félicite que la plupart de ces recommandations de la CSNP aient été endossées début juin par nos collègues du Sénat[3] : au-delà des clivages partisans, il est important de ne pas perdre de temps dans la lutte contre le cybercrime.

Dès que les nouveaux exécutifs régionaux se mettront en place, il importera d’aborder ce sujet rapidement : si la région Ile de France pourra compter dès la fin de l’année sur le Campus Cyber qui sera installé dans le quartier de La Défense, des actions devront être entreprises sans attendre le déploiement de ses éventuels « satellites » en région.

La création du Campus Cyber, associant le public et le privé, permettra de présenter une véritable vitrine du savoir-faire français où les grands acteurs du secteur (Atos, Orange, Cap Gémini …) côtoieront des petites et moyennes entreprises, tout en favorisant la fertilisation croisée et l’émergence d’un écosystème avec des solutions souveraines.

L’idéal serait bien sûr que le Campus Cyber crée des émules et que chaque région puisse disposer d’un campus de la sécurité numérique ou, quel que soit le nom qui sera retenu, d’un lieu qui puisse réunir ou cordonner en région l’écosystème public et privé de la cybersécurité. L’initiative peut revenir aux collectivités les plus entreprenantes en la matière, sur la base de cette dynamique.

 

Un défi : une formation des élus et des agents des collectivités locales à la sécurité numérique

Pour lutter efficacement contre la cybercriminalité, la CSNP recommande qu’un effort tout particulier soit engagé en faveur de la sensibilisation et la formation aux enjeux de la sécurité numérique et de la cybersécurité au profit des élus et agents publics, notamment ceux qui sont employés dans les plus petites structures, particulièrement vulnérables. 

A cette fin, les clés du succès seront, outre des ressources financières, la mise en place d’une offre de formation de qualité s’inscrivant aussi bien dans le cadre de la formation initiale que dans le cadre de la formation continue.

Les associations représentatives des collectivités locales se sont déjà engagées dans cette voie : les efforts doivent s’accélérer. Toutes les collectivités européennes doivent relever ce défi et le dialogue entre collectivités françaises mais également avec des collectivités européennes nous semble un facteur d’accélération absolument nécessaire : apprenons des succès et des échecs de chacun. 

 

La commande publique des collectivités locales : un levier supplémentaire pour renforcer la sécurité numérique ?

Dans son avis du 29 avril 2021, la CSNP préconise que l’État prenne une part plus active à la consolidation de la filière cybersécurité française en mobilisant d’avantage le levier de la commande publique au niveau national et européen et propose même de modifier, si nécessaire, la directive 2014/25/UE du 26 février 2014 relative à la commande publique des opérateurs de réseaux. Il s’agirait  notamment de permettre aux opérateurs de réseaux, dont les achats de produits et services de cybersécurité sont généralement soumis à cette directive, d’orienter leurs achats en la matière auprès de fournisseurs nationaux et européens. 

A minima, les membres de la Commission considèrent que la cybersécurité pourrait entrer dans le champ d’exclusion de l’application de la directive au profit des OIV (Opérateurs d’Importance Vitale) et OSE (Opérateurs de Services Essentiels) afin de leur permettre d’accéder à des solutions de confiance.

Cette recommandation formulée pour la commande publique de l’État est sans doute transposable à la commande publique des collectivités locales que ce soit dans la politique de choix du cloud, des datacenters, des logiciels…

A performance comparable, cette prise en compte de la souveraineté et de la sécurité peut constituer une solution renforçant notre souveraineté numérique et une promotion des entreprises françaises performantes dans le domaine de la cybersécurité et de la sécurité numérique.

En effet, l’accélération de la numérisation de nos territoires constitue un enjeu de sécurité mais également un enjeu économique fort avec des gains de performance et de compétitivité non négligeables pour les entreprises innovantes proches des territoires. 

La question peut se poser par exemple pour les datacenters de proximité qui se développent sur notre territoire. Ce développement correspond à un besoin : le volume des données à conserver, traiter et exploiter décuple tous les six ans.

Selon Infranum[4], les élus locaux, en liaison avec les entreprises de leur territoire, sont ou seront amenés à étudier si un datacenter de proximité pourra répondre à un besoin exprimé localement. Tout ce qui peut préserver une plus grande sécurité et notre souveraineté nous semble devoir être encouragé.

Plusieurs options se présentent pour les collectivités : location de baies dans un datacenter existant, construction d’un datacenter public dédié aux collectivités et acteurs publics ou construction d’un datacenter public également ouvert aux acteurs privés. 

Le législateur aura à se pencher sur les conséquences juridiques de ces choix, notamment au regard des règles de responsabilité et il conviendra sans doute d’en préciser les contours, car les collectivités locales n’ont pas toujours les compétences et les outils pour effectuer les bons choix à long terme.

 

Le rôle des collectivités locales dans le renforcement du niveau de sécurité  numérique global auprès de nos concitoyens

Par leur proximité évidente avec nos concitoyens, les collectivités locales sont des acteurs essentiels dans l’augmentation du niveau général de la culture numérique et donc de la sécurité numérique auprès de l’ensemble de la population. 

C’est déjà le cas au sein des Espaces France Service qui vont pouvoir compter sur les 4000 conseillers numériques dont le gouvernement a annoncé le recrutement et la formation en novembre 2020, qui devraient être opérationnels au cours des prochains mois.

Au-delà de la détection et de l’accompagnement des 13 millions de français éloignés du numérique, les conseillers numériques et les agents des Maisons France Service, dès lors qu’ils sont eux-mêmes correctement formés, peuvent diffuser les bonnes pratiques et les bons réflexes auprès de nos concitoyens. 

En liaison avec les chambres de commerce et d’industrie et les chambres des métiers et de l’artisanat qui mettent à disposition des boîtes à outils à destination des artisans et des petites et moyennes entreprises, les collectivités locales peuvent efficacement jouer un rôle de conseil auprès de leur tissu économique local.

Le développement des plateformes de e-commerce locales peut constituer des pistes de développement alternatives pour le tissu économique local. L’État s’est engagé à apporter un soutien immédiat de 20 000 € par commune[5], ce qui permettra d’accompagner les collectivités locales dans la mise en place de ces solutions, pour un montant total de 60 millions d'euros.
Nous ne disposons pas encore du recul nécessaire pour mesurer leur impact sur l’activité économique dans nos territoires mais il est certain que ces développements doivent se faire en intégrant d’ores et déjà des mesures suffisantes en termes de sécurité numérique.

A tous ces égards, la sécurité devrait être une préoccupation constante dès l’amont de l’accompagnement à la numérisation : acquisition de bons réflexes tels que changement régulier des mots de passe, choix judicieux des matériels et logiciels, sauvegardes régulières, prévention des hameçonnages, réactivité en cas d’attaque, … La collectivité locale, grâce au capital de confiance dont elle dispose, peut et doit transmettre les bonnes pratiques à ses administrés les plus éloignés du numérique, comme aux plus avertis, et être exemplaire en la matière.

En réalité, avec le développement sans précédent de la cybermenace, c’est un véritable changement de paradigme que nous devons adopter : au niveau individuel, en tant que citoyen, au niveau des acteurs économiques et politiques.

Les collectivités locales vont sans nul doute jouer un rôle essentiel dans cette transformation et doivent s’en donner les moyens.

Le cybercrime est international mais les cybervictimes sont locales : organisons nous rapidement et efficacement !