HarfangLab : 53% des collectivités territoriales se sentent exposées aux cyberattaques, et 37% indiquent même en avoir déjà été victimes
juin 2024 par HarfangLab
HarfangLab dévoile les résultats d’une enquête inédite, menée auprès de 201 collectivités territoriales à travers la France. Le but est de comprendre leur niveau de maturité en cybersécurité, leurs freins dans la montée en résilience, mais aussi leurs craintes et leurs enjeux. Si les collectivités territoriales sont de plus en plus sensibilisées au risque cyber, des efforts restent à faire, notamment pour convaincre les élus et décideurs de se saisir du sujet de la sécurité. Alors que 29% des collectivités s’estiment plutôt en avance en matière de cybersécurité, près d’un tiers, 31%, s’estiment au contraire très en retard.
Des freins à la montée en maturité en cybersécurité
Parmi les freins et difficultés rencontrés par les collectivités pour mettre en place une bonne stratégie de cybersécurité, nous retrouvons la complexité d’assurer la sécurité avec l’arrivée de nouvelles technologies (32%), le manque de formation en cybersécurité (27%), le manque de budget (30%), le manque de temps (29%), ou encore le manque de sensibilisation en interne (30%). Cette problématique de la sensibilisation en interne revient aussi dans celles de la gouvernance, où les répondants à l’enquête indiquent qu’ils peinent parfois à convaincre leurs élus à adhérer à la politique de cybersécurité. 9% des sondés indiquent même que les élus et agents n’adhèrent pas du tout aux politiques cyber. 42% confirment que les agents et élus s’y conforment facilement et la même proportion a répondu que l’adoption de pratiques de cybersécurité nécessitait une grande force de persuasion.
Un contexte en tensions, qui accroît le risque cyber pour les organisations
Le manque de budget et le manque de formation sont deux facteurs qui aggravent le risque cyber dans les collectivités selon elles. Plus que les facteurs externes et contextuels, tels que les Jeux Olympiques ou les guerres en cours en Ukraine et à Gaza. S’ils sont 34% à n’identifier qu’un risque minime de cyberattaque dans leur propre collectivité dans le contexte de la guerre en Ukraine, ils ne sont que 25% à ne pas se sentir personnellement exposés au risque compte tenu du niveau de formation des salariés à la cybersécurité. Plus de 41% des répondants sont également inquiets, voire très inquiets pour leur propre sécurité en raison du faible niveau de priorité donnée à la cybersécurité dans la prise de décision collective. 35% des répondants se sentent également très vulnérables, dans leur propre collectivité au vu de la vétusté des équipements informatiques. Au contraire, 32% se sentent peu concernés par le risque cyber au regard de la qualité et du renouvellement de leurs équipements informatiques.
44% des répondants se sentent personnellement exposés au risque cyber dans le contexte des Jeux Olympiques de Paris 2024, et c’est particulièrement vrai pour les collectivités des zones urbaines. A l’inverse, 31% des répondants estiment que ces Jeux n’auront pas d’impact sur leur exposition au risque cyber.
Des attentes d’accompagnement de la part de l’État
En termes de conséquences d’une cyberattaque, 49% des collectivités redoutent le vol de données personnelles, suivi par l’inaccessibilité des services publics (44%) et la fuite d’informations (38%). 34% des répondants indiquent également que les ransomwares font partie des types d’attaques qu’ils redoutent le plus.
Lorsque l’on questionne les collectivités sur leurs attentes en matière de cybersécurité, la majorité répond qu’elles souhaitent surtout pouvoir garantir une meilleure protection des données. Certains répondent aussi qu’ils attendent un outil fiable et efficace, qui s’adapte à l’évolution des technologies pour garantir la protection des données à travers le temps. Parmi les attentes souvent remontées, un grand nombre de répondants souhaiterait davantage de soutien de la part de l’État, tant sur la partie financière que sur la partie accompagnement et sensibilisation. Près de 20% mettent la priorité sur la sensibilisation et la formation, qui représentent, selon les résultats de cette étude, l’un des principaux freins à l’amélioration des capacités de cybersécurité des collectivités.
Anouck Teiller, Chief Strategy Officer chez HarfangLab, conclut : « Ces dernières années, les collectivités territoriales n’ont pas été épargnées par les cyberattaques, et le sujet de la cybersécurité est aujourd’hui de plus en plus prioritaire. De nombreux efforts ont été fait pour accompagner la montée en maturité des collectivités par l’État, ou par des acteurs du privé. On peut parler des initiatives d’accompagnement financier comme France Relance, mais également l’émergence d’offres uniques et accessibles pour décomplexifier le marché, comme ce que proposent la BPI et Docaposte, intégrant d’ailleurs l’EDR d’HarfangLab à leur offre. Les règlementations aussi, comme NIS 2, si elles apportent leur lot de contrainte pour la mise en conformité, elles ont pour objectif de créer un socle commun minimal de sécurité pour toutes les entités critiques et essentielles, et le secteur public en fait partie. »
Méthodologie
L’étude a été mandatée par Harfanglab et menée par le cabinet Infopro digital avec la méthode d’auto-administration en ligne (CAWI) auprès d’une cible d’élus, DGS/DGA, Directeurs de cabinet et Directeurs de service des collectivités territoriales. Le terrain a été mené du 8 au 24 avril 2024 et compte 201 répondants, répartis à travers la France parmi des collectivités de tailles différentes, à la fois situées en zones urbaines et rurales.