Cybersécurité : les maires appelés à la plus grande vigilance

En 2024, 348 000 atteintes numériques ont été enregistrées, soit une augmentation de 74 % en 5 ans, selon Christophe Husson, chef du Commandement du ministère de l'Intérieur dans le cyberespace. La menace cyber prend de l’ampleur et n’épargne désormais plus personne.

« La question n’est plus de savoir si, en tant que commune, nous allons être attaqués, mais c’est de savoir quand », a témoigné Bertrand Ringot, maire de Gravelines (Nord, 11 451 hab.) qui a subi une cyberattaque en avril 2024. 
 

Une ampleur inédite

« Même les plus petites communes sont ciblées, c’est le principe du phishing (hameçonnage en français) », constate Patrick Molinoz, maire de Venarey-Les Laumes (21) et co-président de la commission numérique de l’AMF. Cette technique incite les agents à communiquer des données personnelles (comptes d'accès, mots de passe…) et/ou bancaires, en se faisant passer pour un tiers de confiance », soit par mail, SMS, messages instantanés, soit via des publications sur les réseaux sociaux, des liens sponsorisés sur les moteurs de recherches, des appels téléphoniques ou encore des QR codes frauduleux. 

Plusieurs intervenants ont utilisé l’image de «la pêche au chalut » pour illustrer la façon d’agir des cybercriminels. Les attaques lancées ne ciblent pas particulièrement des entités. Les cyberattaquants «attrapent dans leurs filets » des collectivités de toute taille mais aussi des hôpitaux, associations, particuliers. Présente, la ministre déléguée chargée de l'Intelligence artificielle et du Numérique, Anne le Hénanff, confirme et alerte : «les menaces existent bien » et elles doivent être anticipées dans les communes.
 

Les risques pendant la période électorale 

Les élections municipales de mars prochain ont été au cœur des discussions. «Les communes et les candidats risquent d’être des cibles de cyberattaques », a prévenu la ministre. «Il y a du côté de certaines puissances étrangères – notamment russes – une volonté politique de déstabiliser l’État en copiant des organes de presse, par exemple pour faire passer des fake news » et ainsi influencer les élections localement », explique Patrick Molinoz.  

D’autant qu’avec «la révolution de l’intelligence artificielle générative », les cyberattaquants ont des «capacités décuplées », a indiqué la ministre. Christophe Husson confirme : «Avec l’intelligence artificielle, on va plus loin ». Le général de gendarmerie mentionne notamment les techniques de deepfakes (contenus audio ou vidéo générés par IA pour créer de fausses images) mais aussi de morphing vocal (clonage vocal par IA). Un candidat aux élections peut aisément être la cible de ces techniques dans un but malveillant durant la campagne. 

Pour les aider à faire face, plusieurs acteurs peuvent accompagner les collectivités. C’est le cas notamment de Cybermalveillance.gouv.fr. En plus de proposer de nombreux outils en ligne comme un programme d’e-sensibilisation intitulé «SensCyber », qui peut aider les équipes municipales à adopter les bons réflexes, Cybermalveillance.gouv.fr propose une identification simplifiée des acteurs locaux de confiance pour aider les collectivités à renforcer leur niveau de cybersécurité. «Le label «ExpertCyber » identifie les sociétés expertes pour accompagner les collectivités », a expliqué Jérôme Notin, directeur général de Cybermalveillance.gouv.fr

En cas de cyberattaque, une collectivité doit «signaler les faits le plus rapidement possible », conseille Christophe Husson. Un dispositif «17Cyber » est accessible gratuitement en ligne et «les utilisateurs victimes peuvent échanger par tchat avec un policier ou un gendarme pour disposer des conseils de première urgence et engager les démarches de judiciarisation ». 
 

NIS 2 : un nouveau défi pour les collectivités

« L’Etat n’est pas le seul garant de la cybersécurité, a déclaré Anne le Hénanff. Le rôle des collectivités est essentiel. Répondre au défi de la cybersécurité est aussi la responsabilité du maire. C’est un objectif de pilotage et de gouvernance au même titre que l’urbanisme par exemple », estime la ministre. 

Dans ce contexte, elle se dit satisfaite de la future adoption du projet de loi visant à transposer la directive NIS2. L’examen du texte reprendra en janvier prochain, à l’Assemblée nationale. Il vise à atteindre, collectivement, une immunité cyber nationale, et distingue deux types d’acteurs qui vont être soumis à des obligations différentes : les «entités essentielles » et celles dites «importantes » (les essentielles auront davantage d'objectifs à remplir).

Parmi les essentielles, sont concernées pour le bloc local, les communes de plus de 30 000 habitants, les métropoles, les communautés urbaines et d’agglomération. Toutes les communautés de communes seront des entités importantes. 

L’AMF a défendu un périmètre plus restreint pour les communautés de communes et les communautés d’agglomération. «La marche va être très haute pour ces collectivités », a regretté Patrick Molinoz. La ministre a cependant voulu rassurer les élus : «Vous aurez trois ans pour le faire ! », a-t-elle lancé. Reste à voir si ces plus petits groupements vont pouvoir tenir ces obligations, notamment sur le plan financier, s’est interrogé Patrick Molinoz.  
 

Lire aussi notre dossier spécial " Cybersécurité : les outils pratiques "