La CNIL et la plateforme gouvernementale CYBERMALVEILLANCE rappellent à l’ordre les collectivités locales. Suite à une étude conduite fin d’année 2021, un guide de rappel vient d’être mis en ligne.
Une étude édifiante
Fin d’année 2021, une étude a été menée au près de 3500 collectivités locales. Cela représente plus de 91% des communes en France, elle est donc loin d’être exhaustive.
La recrudescence des cyberattaques des collectivités locales a poussé le gouvernement à mettre la cybersécurité dans un pan du plan FRANCE RELANCE. C’est dans ce cadre que Cybermalveillance.gouv.fr a souhaité mener cette étude, et on peut dire que le résultat est édifiant.
Parmi les axes majeurs qui ressortent de l’étude :
- 77 % des collectivités ont un parc informatique réduit (moins de 5 postes informatiques) ;
- 77% externalisent la gestion de leur informatique ;
- 65 % pensent que le risque est faible, voire inexistant, ou ne savent pas l’évaluer ;
- le partage de mots de passe ou le mélange des usages professionnels et personnels sont des usages numériques à risques régulièrement pratiqués.
De plus pour répondre aux défis de la cybersécurité de leur infrastructure , les collectivités locales ne se sentent pas vraiment concernées. Elles pensent en grande majorité ne pas être des cibles prioritaires pour les hackers.
Mise en ligne d'un guide de rappel
Un des premiers enseignements de cette étude est que les personnels des collectivités locales ont une mauvaise connaissance du cadre juridique et des risques encourus.
De plus la grande majorités des élus locaux et des agents territoriaux trouvent la réglementation sur la sécurité informatique particulièrement complexe.
Pour répondre à cette problématique, un guide vient d’être mise en ligne pour expliquer les risques encourues par les reponsables administratifs d’une collectivité locale ayant subit une cyberattaque.
Le saviez vous?
Au travers des exemples de ce guide on découvre plusieurs cas de figure et du fait que les usagers ou sociétés impactés par la cyberattaque peuvent saisir la CNIL contre la collectivité.
Un élu procède à l’homologation d’un nouveau téléservice sans que les analyses de sécurité les plus élémentaires aient été mises en œuvre et nonobstant les mises en garde techniques qui lui ont été adressées par l’agent responsable de l’informatique. Une cyberattaque conduit à des fuites de données, notamment des vols de coordonnées bancaires. La CNIL, lors de son contrôle, met en lumière les graves failles de sécurité du système, non conformes au RGS. Les victimes de ces vols de données entendent obtenir réparation auprès de la collectivité locale gestionnaire du service. En application du principe de cumul de responsabilités, la collectivité engage une action récursoire contre l’élu, la gravité de la faute commise par ce dernier dans l’exercice de ses fonctions conduisant à lui imputer une faute personnelle détachable du service.
Conclusion
Il est important que les collectivités locales procèdes à des
