Journal Officiel
Retour dernier bulletin quotidien
Envoyer à un ami
Version imprimable
Partager
La forte croissance des cybermenaces, de plus en plus sophistiquées et diversifiées justifie la définition, fin 2024, d'une nouvelle stratégie nationale de cybersécurité, qui met en œuvre le cadre européen récemment adopté. Il convient maintenant de décliner cette stratégie, avec les ressources budgétaires afférentes et une gouvernance interministérielle renforcée.
Ces évolutions nécessitent également d'adapter les missions de l'Agence nationale de la sécurité des systèmes d'information, d'accompagner le développement de l'écosystème cyber et de diffuser la culture de la sécurité numérique dans l'ensemble de la société.
Ce rapport contient plusieurs éléments directement liés aux collectivités locales, soulignant leur exposition croissante aux cyberattaques et les lacunes dans la protection de leurs systèmes. Voici les principaux points les concernant :
1. Une vulnérabilité préoccupante des collectivités territoriales
Les collectivités locales (communes, départements, régions) sont fréquemment ciblées par des attaques, notamment de type rançongiciel.
Elles sont considérées comme une porte d’entrée vers d’autres entités publiques via des interconnexions non maîtrisées (ex. systèmes partagés ou prestataires communs).
Certaines collectivités victimes n'ont pas été en capacité de détecter l’attaque ni d’en comprendre l’étendue, faute d’outils ou de compétences internes.
2. Défauts de préparation et d’équipement
Peu de collectivités disposent de plans de continuité d’activité (PCA) ou de plans de reprise d’activité (PRA) efficaces.
L’audit montre des délais de mise à jour des correctifs critiques sur des systèmes accessibles depuis Internet.
Des outils critiques (VPN, messagerie, ERP) restent exposés malgré des alertes du CERT-FR.
3. Un accompagnement insuffisant de la part de l’État
La stratégie nationale de cybersécurité 2024-2030 prévoit un soutien aux collectivités, mais celui-ci reste peu opérationnel en 2025.
Le dispositif « Aide à la sécurisation des collectivités » mis en place par l’ANSSI et la DINUM reste sous-utilisé, notamment faute de ressources humaines qualifiées au niveau local.
Le recours à des prestataires privés est fréquent, mais non encadré, ce qui crée un risque de dépendance et des prestations parfois insuffisantes en matière de sécurité.
4. Recommandations spécifiques aux collectivités
La Cour recommande que :
L’État renforce l’accompagnement technique et financier des collectivités, via des dispositifs incitatifs ou des aides ciblées (notamment en faveur des petites communes).
Les collectivités :
- mettent en place des référents cybersécurité,
- mutualisent les compétences au sein de centres de services numériques territoriaux,
- suivent les préconisations de l’ANSSI,
- et s’astreignent à des audits réguliers de leur système d’information.
COUR DES COMPTES - Rapport
Voir notamment « Les parcours de sécurité au bénéfice des collectivités territoriales » à la page 112 du PDF
Ces évolutions nécessitent également d'adapter les missions de l'Agence nationale de la sécurité des systèmes d'information, d'accompagner le développement de l'écosystème cyber et de diffuser la culture de la sécurité numérique dans l'ensemble de la société.
Ce rapport contient plusieurs éléments directement liés aux collectivités locales, soulignant leur exposition croissante aux cyberattaques et les lacunes dans la protection de leurs systèmes. Voici les principaux points les concernant :
1. Une vulnérabilité préoccupante des collectivités territoriales
Les collectivités locales (communes, départements, régions) sont fréquemment ciblées par des attaques, notamment de type rançongiciel.
Elles sont considérées comme une porte d’entrée vers d’autres entités publiques via des interconnexions non maîtrisées (ex. systèmes partagés ou prestataires communs).
Certaines collectivités victimes n'ont pas été en capacité de détecter l’attaque ni d’en comprendre l’étendue, faute d’outils ou de compétences internes.
2. Défauts de préparation et d’équipement
Peu de collectivités disposent de plans de continuité d’activité (PCA) ou de plans de reprise d’activité (PRA) efficaces.
L’audit montre des délais de mise à jour des correctifs critiques sur des systèmes accessibles depuis Internet.
Des outils critiques (VPN, messagerie, ERP) restent exposés malgré des alertes du CERT-FR.
3. Un accompagnement insuffisant de la part de l’État
La stratégie nationale de cybersécurité 2024-2030 prévoit un soutien aux collectivités, mais celui-ci reste peu opérationnel en 2025.
Le dispositif « Aide à la sécurisation des collectivités » mis en place par l’ANSSI et la DINUM reste sous-utilisé, notamment faute de ressources humaines qualifiées au niveau local.
Le recours à des prestataires privés est fréquent, mais non encadré, ce qui crée un risque de dépendance et des prestations parfois insuffisantes en matière de sécurité.
4. Recommandations spécifiques aux collectivités
La Cour recommande que :
L’État renforce l’accompagnement technique et financier des collectivités, via des dispositifs incitatifs ou des aides ciblées (notamment en faveur des petites communes).
Les collectivités :
- mettent en place des référents cybersécurité,
- mutualisent les compétences au sein de centres de services numériques territoriaux,
- suivent les préconisations de l’ANSSI,
- et s’astreignent à des audits réguliers de leur système d’information.
COUR DES COMPTES - Rapport
Voir notamment « Les parcours de sécurité au bénéfice des collectivités territoriales » à la page 112 du PDF
Dans la même rubrique
-
Actu - Cybersécurité : les bénéfices économiques du RGPD
-
RM - Opérations d'entretien des abords des lignes dans le déploiement de la fibre
-
Actu - Les indicateurs d'accessibilité - Les chiffres du 1er trimestre 2025
-
Actu - Plateforme data.gouv.fr, solutions open source, etc. : comment publier ses données quand on est une collectivité territoriale ?
-
Actu - Cybersécurité : plus d’une entreprise sur deux ne respecte pas ses propres règles de tolérance en matière de gestion des risques
Déconnexion
