Une enquête publiée en début d’année par Cybermalveillance.gouv.fr a montré que les élus de nombreuses communes de moins de 3 500 habitants estimaient que le risque de cyberattaques pour leur commune était faible voire inexistant. 65 % de ces collectivités locales ne prennent pas en compte le risque de cyberattaque.
Pourtant, « les collectivités de toutes tailles sont la cible d’actes de cybermalveillance de plus en plus nombreux et dont les conséquences ne sont pas négligeables : systèmes d’information bloqués, vol de données personnelles, missions de service public interrompues, etc. » . C’est ce qui est rappelé dans le nouveau guide de Cybermalveillance.gouv.fr et de la Commission nationale de l’informatique et des libertés (Cnil) intitulé Obligations et responsabilités des collectivités locales en matière de cybersécurité.
Cette publication sert de piqûre de rappel aux élus et agents quant au cadre juridique en vigueur. Les collectivités locales ont en effet trois obligations liées à la cybersécurité : la protection des données personnelles, la mise en œuvre des téléservices locaux et l’hébergement des données de santé. Il est d’autant plus important d’avoir conscience de cela qu’en cas de cyberattaque « la responsabilité des collectivités locales et/ou de leurs agents peut être engagée, sur le plan administratif, civil ou pénal. »
Trois grandes obligations
Le guide est synthétique et ses auteurs font le point sur les trois obligations qui concernent les collectivités en matière de cyberprotection. D’abord, une collectivité locale doit protéger les données personnelles de ses administrés, qu’il s’agisse d’une utilisation interne (ressources humaines, vidéosurveillance…) ou externe (état civil, inscriptions scolaires…). C’est le délégué à la protection des données (DPO) qui supervise la gestion des données.
Pour ce faire, et assurer une protection optimale, plusieurs mesures sont à mettre en place comme « la sécurisation des postes de travail (antivirus, etc.) » , « la sécurisation des éléments réseau (pare-feu, proxy, etc.) », « la mise à jour régulière et suivie des systèmes et logiciels » ou encore « la mise en place d’un système d’authentification fiable et robuste des utilisateurs. »
Deuxième obligation : sécuriser les téléservices locaux. Les auteurs du guide rappellent que « la mise en œuvre de téléservices locaux impose des obligations aux collectivités locales et à leurs établissements publics » . Cela concerne les démarches comme la demande de permis de construire, demande de logement social, demande de pièces extraites de l’état civil, inscription à la cantine scolaire, etc. L’ensemble de ces téléservices doit satisfaire aux exigences du Référentiel général de sécurité, dit RGS, qui sont des règles de sécurité applicables aux collectivités et prestataires.
Enfin, une collectivité se doit d’assurer la sécurisation de l’hébergement des données de santé. Ce type de données « est recueilli à l’occasion d’activités de prévention, de diagnostic, de soins ou de suivi social et médico-social: radios, résultats de laboratoire, comptes rendus médicaux, etc. » Les données sont utilisées, par les collectivités locales, pour les départements au titre de la gestion des aides sociales et pour les communes au titre des centres communaux d’action sociale. Les collectivités se doivent d’être conformes à la réglementation de la protection des données personnelles et à la réglementation spécifique s’appliquant aux activités consistant à héberger des données de santé, lorsqu’elles sont externalisées auprès d’un tiers.
Des risques de sanctions
En cas de cyberattaque, s’il est constaté un manquement à ces trois obligations, la responsabilité des collectivités locales et/ou de leurs agents peut être engagée. « Lorsqu’il est constaté (…) que des dispositions relatives à la loi dite Informatique et libertés et/ou au RGPD ont été méconnues, la Cnil a la faculté de prononcer des sanctions administratives » avec des sanctions pécuniaires pouvant aller jusqu’à 20 millions d’euros.
Les citoyens peuvent aussi « engager la responsabilité de l’administration pour faute lorsque cette dernière a manqué à ses obligations et que le manquement leur a causé un préjudice. »
Concrètement, des entreprises ou des administrés peuvent réclamer à une collectivité locale une indemnisation des préjudices subis du fait des conséquences d’une cyberattaque. Le système d’inhumation d’une ville peut être stoppé net par une cyberattaque pendant plusieurs jours et, dans ce cas, les familles peuvent par exemple demander un remboursement des frais de chambre mortuaire. Répétons qu’une telle procédure ne peut être engagée que si la collectivité locale est en tort et qu’elle n’a pas respecté les obligations de prévention.
Un élu ou un agent peut aussi faire l’objet de sanctions pénales en cas d’atteinte grave aux règles du RGPD. « Par exemple, est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende le fait de procéder ou de faire procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures destinées à garantir la sécurité des données ou de ne pas tenir de registre des traitements. » Il est aussi expliqué dans le guide qu’un maire ou un agent peut aussi être condamné pour des fautes d’imprudence et de négligence « en cas de faute caractérisée exposant autrui à un risque grave et immédiat » . Une barrière de parking peut faire l’objet d’un dysfonctionnement à cause d’une cyberattaque et blesser un citoyen. Le responsable peut être pénalement puni « s’il s’avère que des manquements graves à la sécurité des systèmes d’information les ont rendus particulièrement vulnérables à une cyberattaque. »
Un besoin de sensibilisation
La publication de ce nouveau guide s’inscrit dans un contexte où le nombre de collectivités touchées par des cyberattaques ne cesse d’augmenter. En fin d’année 2021, le Sénat insistait déjà sur le besoin de faire de la pédagogie et de la sensibilisation autour de ces sujets avec les élus et agents. (lire Maire info du 3 novembre) Françoise Gatel avait alors rappelé que l’AMF et l’Agence nationale de la sécurité des systèmes d’information ont réalisé des guides pour les collectivités sur la cybersécurité, « qui sont des outils indispensables. »
Ce guide est une ressource supplémentaire qui encourage les élus, dirigeants et agents publics dans les collectivités locales et leurs établissements publics, à s’investir dans ces questions de cybersécurité en respectant notamment strictement les différentes réglementations présentées dans le guide.