Cybermalveillance.gouv.fr reconduit son enquête sur la cybersécurité dans les collectivités, dont la première édition avait été réalisée en 2021. Le périmètre évolue et porte sur les collectivités de moins de 25.000 habitants (moins de 3.500 habitants dans la précédente étude). Une échelle plus représentative puisqu’elles représentent 99% des communes et 67% de la population française .
Dans un contexte de recrudescence de la menace, 1 collectivité sur 10 déclare avoir déjà été victime d’une ou plusieurs attaques au cours des 12 derniers mois, dans 46% des cas suite à un hameçonnage et avec pour conséquence dans 40% des cas une interruption d’activité et de service (voir graphiques ci-dessous).
La sensibilisation au risque cyber a progressé depuis la précédente enquête, 78% des répondants déclarant avoir été sensibilisés au moins une fois dans l’année à la sécurité informatique, contre seulement un tiers précédemment. Mais ce n’est que le tout début du chemin.
Les collectivités de moins de 1.000 habitants sont seulement 37% à évaluer que leur niveau d’exposition au risque est élevé, taux qui monte à 70% pour les collectivités de plus de 10.000 habitants. Elles sont aussi 22% à ne pas savoir évaluer leur niveau d’exposition au risque cyber contre 10% pour les plus grandes.
Sans surprise les trois quarts des collectivités externalisent entièrement ou en partie la gestion de la sécurité. Plus inquiétant, 8% n’assurent aucune gestion de la sécurité. Pour les autres, 3 ou 4 dispositifs de sécurité en moyenne sont en place, qui sont le plus souvent des sauvegardes et des antivirus (85%), un pare-feu (62%) et une politique de mot de passe (40%).
A la question de savoir si elles se sentent bien protégées, 18% peinent à répondre, 33% considèrent leur niveau de protection comme faible et 49% comme bon.
Même si les parcs informatiques sont modestes – 80% des collectivités disposent de moins de 10 postes – les budgets informatiques paraissent pour le moins limités. 65 % des collectivités allouent moins de 5 000 euros à leur budget informatique dont un tiers moins de 2000 euros. Seulement 12% prévoient de faire évoluer leur budget cyber à la hausse et 23% pour celles déjà victimes d’une attaque.
De plus le faible taux d’équipement des agents favorise l’utilisation d’équipements personnels, surtout pour les téléphones portables (88%) et les ordinateurs (36%).
Au niveau de la préparation, seulement 19% disposent d’une procédure de réaction et 14% se sentent préparées en cas d’attaque.
Les principaux freins identifiés pour améliorer la situation sont un manque de connaissance du sujet (45%), de ressources humaines (38%), de temps et de budget (34%). Mais pour que la situation évolue, l’étude place la sensibilisation comme l’attente la plus forte tant auprès des agents que des élus.
