Pierre Venteau
Question N° 40395 au Premier ministre
Question soumise le 27 juillet 2021
M. Pierre Venteau attire l'attention de M. le secrétaire d'État auprès des ministres de l'économie, des finances et de la relance, et de la cohésion des territoires et des relations avec les collectivités territoriales, chargé de la transition numérique et des communications électroniques, sur les compétences des collectivités territoriales en matière de cyber-sécurité. L'affaire Pegasus, portée à l'attention du public le 19 juillet 2021, a souligné la nécessité de se doter d'outils de cyberdéfense efficaces. Les collectivités locales sont des cibles particulièrement vulnérables. Pourtant beaucoup estiment aujourd'hui que la cybersécurité n'entre pas dans leurs prérogatives et manquent d'outils pour garantir leur sécurité informatique. Avec le développement des smart cities, la capacité des administrations locales à assurer leur protection devient un enjeu majeur. M. le député demande donc si l'attribution d'une compétence de cyber-sécurité est envisageable à l'échelle locale, notamment par la mise en place d'un référent cyber-sécurité au sein des EPCI, accompagnée d'une possibilité de former les élus locaux aux risques cyber. Dans ce cadre le projet de loi 3DS en cours de discussion pourrait constituer un vecteur législatif particulièrement adapté. Il souhaite connaître son avis sur le sujet.
Réponse émise le 10 mai 2022
Les collectivités locales sont fréquemment la cible de cyberattaques, principalement à des fins d'extorsion. Ces attaques sont susceptibles d'affecter gravement la bonne marche des services publics, notamment dans les domaines des transports publics, de la gestion des prestations sociales ou de la bonne tenue de l'état-civil. Ce type de criminalité semble devoir s'installer dans la durée voire croître, compte tenu du niveau de cybersécurité perfectible de nombre de collectivités et de la numérisation croissante, par exemple dans la perspective des smartcities. D'ores et déjà, les collectivités territoriales doivent faire face à un certain nombre d'obligations et de responsabilités en matière de cybersécurité, visant notamment à protéger les données personnelles de leurs usagers ou à sécuriser leurs échanges avec les usagers. De nombreuses « ressources » sont disponibles pour les aider à y satisfaire. L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a ainsi publié en partenariat avec l'Association des maires de France (AMF) un guide de mise en œuvre d'une démarche de cybersécurité, ainsi qu'un guide présentant les différentes exigences réglementaires s'imposant aux collectivités territoriales en matière de sécurité de leurs outils numériques. De plus, l'ANSSI dispose d'un réseau de délégués régionaux en mesure d'orienter les collectivités territoriales dans le choix d'outils de cybersécurité. Elle a également noué des partenariats avec des associations de fournisseurs de services aux collectivités territoriales pour renforcer la cybersécurité de leurs offres. Dans le cadre du plan France Relance, un parcours de cybersécurité est proposé aux collectivités volontaires. Elles sont aidées financièrement pour réaliser un diagnostic de leur niveau de cybersécurité, identifier les mesures de sécurité les plus urgentes à mettre en œuvre et dresser un plan d'amélioration de leur cybersécurité. De plus, afin de faciliter l'accès à des outils de cybersécurité au meilleur coût pour les collectivités, un appel d'offres est organisé. Ces dispositifs et mesures qui contribuent directement à l'élévation du niveau de cybersécurité des collectivités devront être pérennisés pour atteindre leur pleine efficacité. Pour ce faire, il n'est pas indispensable de faire évoluer le cadre législatif.
Aucun commentaire n'a encore été formulé sur cette question.