Ciblées par les hackers, les collectivités locales rappelées à l'ordre par la Cnil et Cybermalveillance

Le constat est inquiétant : 65% des collectivités de moins de 3500 habitants pensent que le risque cyber est faible, voire inexistant, ou ne savent pas l'évaluer, d'après une étude menée par Cybermalveillance.gouv.fr, la plateforme d'assistance aux victimes d'attaques, publiée en mai. Pourtant, les faits ne mentent pas. Les collectivités locales sont régulièrement prises pour cible par les hackers.

Eviter les cyberattaques

Face à ce constat, Cybermalveillance.gouv.fr et la Commission nationale de l'informatique et des libertés (Cnil) ont publié le 1er juillet un guide à destination des élus locaux et des agents territoriaux pour leur rappeler leurs obligations et responsabilités en matière de cybersécurité. Prévenir vaut mieux que guérir. En effet, une cyberattaque peut avoir de nombreuses conséquences sur la vie d'une collectivité : systèmes d'informations bloqués, vol de données personnelles, missions de service public interrompues... "Un incident de sécurité informatique peut se produire à tout moment et dans n'importe quelle collectivité", rappelle le guide.

La première obligation des collectivités est de protéger les données personnelles de ses administrés, qu'il s'agisse d'une utilisation interne (ressources humaines, vidéosurveillance...) ou externe (état civil, inscriptions scolaires...). C'est le délégué à la protection des données (DPO) qui supervise ces questions. Pour chaque traitement, il est responsable de la conformité de l'ensemble des traitements de sa collectivité.

Un ensemble de règles pour les téléservices

La deuxième porte sur la mise en oeuvre des téléservices locaux, c'est-à-dire les guichets d'accueil numériques proposés par une collectivité permettant aux usagers de procéder par voie électronique à des démarches ou formalités administratives (demande de logement social, inscription à la cantine scolaire...). Rappelons qu'à partir de 5000 euros de recettes annuelles, l'instauration de téléservices est obligatoire.

Ces téléservices doivent répondre au référentiel général de sécurité (RGS). Il fixe un ensemble de règles de sécurité pour les collectivités et leurs prestataires qui les assistent dans leur démarche de sécurisation de leurs systèmes d'information. Plusieurs étapes sont exigées : réaliser une analyse des risques, définir les objectifs de sécurité, mettre en oeuvre les mesures appropriées de protection, procéder à une homologation du système d'information et assurer un suivi opérationnel.

Enfin, les collectivités doivent respecter des règles en matière d'hébergement des données de santé recueillies à l'occasion d'activités de prévention, de diagnostic, de soins ou de suivi social et médico-social. Elles sont fréquemment mises en oeuvre par les collectivités locales pour les départements au titre de la gestion des aides sociales et pour les communes au titre des centres communaux d'action sociale.

Plusieurs sanctions sont encourues

En cas d'incident, les collectivités locales peuvent être tenues comme juridiquement responsables, indique le guide. La Cnil peut ainsi infliger une sanction pécuniaire pouvant aller jusqu'à 20 millions d'euros. Les citoyens peuvent également engager une action lorsque la collectivité a manqué à ses obligations et que ce manquement leur a causé un préjudice.

Sur le plan pénal, des sanctions sont aussi possibles. En effet, par exemple, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende le fait de procéder ou de faire procéder à un traitement de données personnelles sans mettre en oeuvre les mesures destinées à garantir la sécurité de celles-ci.

Sélectionné pour vous

Bpifrance lance un diagnostic de cybersécurité pour les PME

Un million d'appels téléphoniques venant de services clients piratés en vente sur internet

La start-up Defants lève 2 millions d'euros pour sa plateforme de réponse aux cyberattaques