Augmentation de la cybercriminalité visant les collectivités territoriales

Question de M. MAUREY Hervé (Eure - UC) publiée le 16/01/2025

Rappel de la question n°01026, publiée le 03/10/2024

M. Hervé Maurey rappelle à M. le ministre de l'aménagement du territoire et de la décentralisation les termes de sa question n° 01026 sous le titre « Augmentation de la cybercriminalité visant les collectivités territoriales », qui n'a pas obtenu de réponse à ce jour.

Publiée dans le JO Sénat du 16/01/2025 - page 72

Transmise au Premier ministre

Réponse du Premier ministre publiée le 13/03/2025

Les attaques informatiques affectant les collectivités territoriales sont nombreuses et leurs conséquences peuvent se révéler extrêmement sensibles pour la population. En 2024, l'Agence nationale de sécurité des systèmes d'information (ANSSI) a traité 218 cyber-incidents affectant les collectivités territoriales et locales, soit 14 % de l'ensemble des incidents traités par l'Agence sur la période. La première motivation des attaquants est crapuleuse. Ceux-ci sont mus par l'appât du gain. Ils ciblent leurs victimes de façon opportuniste, c'est-à-dire en privilégiant les moins défendues. Pour répondre à cette menace, l'ANSSI a piloté - à partir de 2021 - le volet du plan France Relance consacré à la cybersécurité. Elle a mis en place un accompagnement sous la forme de « parcours de cybersécurité », à destination des acteurs vulnérables à des cyberattaques d'un faible niveau technique. L'accompagnement, à la fois humain, technique et financier, visait en priorité les collectivités territoriales et les organismes ou ministères administrant des services directement au profit des citoyens. Cent millions d'euros ont été alloués spécifiquement au lancement et à la conduite du programme à destination des collectivités locales, ainsi que d'établissements publics ciblés et des établissements de santé. Au total, 715 collectivités ont été accompagnées. Également issus du plan France Relance en 2021, les Computer Security Incident Response Teams - CSIRT territoriaux sont des centres de réponse aux cyber-incidents implantés sur le territoire national. Ils traitent les demandes d'assistance dans leur région, dont celles des collectivités, et les mettent en relation avec des prestataires de proximité le cas échéant. L'objectif de la création de ces centres - au nombre de 14 aujourd'hui - est de de fournir localement un service de réponse de premier niveau gratuit, complémentaire aux services déjà existants. Les équipes qui les composent assurent également des missions de prévention, de sensibilisation et d'accompagnement dans la maturation technique des acteurs de leurs territoires. Enfin, le Gouvernement a fait le choix d'exploiter les possibilités offertes par la directive NIS 2 afin de couvrir le plus efficacement possible les entités exposées au cyber-risque. Le choix a ainsi été fait d'insérer dans le champ d'application de la loi certaines catégories d'entités spécifiques, dont certaines collectivités territoriales. Au-delà des conseils régionaux que la directive intégrait explicitement comme « entités essentielles », les collectivités locales ont été incluses selon une logique de proportionnalité, dès lors qu'elles présentent une sensibilité particulière. Ces dispositions permettent d'intégrer dans le champ de la réglementation, au juste niveau, les collectivités et activités les plus sensibles, au regard de leur impact sur la population. S'agissant des modalités d'entrée en vigueur de la loi, la question des mesures transitoires a été examinée par le Conseil d'État qui a conclu que la directive ne permet pas de transition. Néanmoins, l'ANSSI prévoit une mise en oeuvre progressive des différentes obligations et du régime de supervision mis en place. Un délai sera ainsi laissé aux acteurs pour se conformer à leurs nouvelles obligations. Du fait de leur nature distincte, les obligations seront, par ailleurs, mises en oeuvre à des rythmes différents. L'ANSSI travaille à la mise à disposition d'une plateforme en ligne MonEspaceNIS2 qui facilitera l'enregistrement des entités régulées et une vaste campagne de communication auprès des collectivités territoriales sera mise en oeuvre pour les informer de l'entrée en application de cette réglementation.

Publiée dans le JO Sénat du 13/03/2025 - page 1114