ANNEXE 2 : TABLE RONDE PORTANT SUR L'ACCOMPAGNEMENT DES COLLECTIVITÉS TERRITORIALES FACE AUX RISQUES DU NUMÉRIQUE
Mme Françoise Gatel, présidente. - Cette deuxième table ronde traite de l'accompagnement des collectivités territoriales face aux risques du numérique. Nous sommes naturellement ici pour parler de l'aspect « pratique », à savoir des usages et des recommandations. Il s'agit d'un travail que nous débutons et les collègues n'ont pas manqué de rappeler le sens, la place et la valeur ajoutée de l'intelligence artificielle dans les services et les fonctions des collectivités. Il existe certes une approche philosophique, ou du moins déontologique, qui peut être propre à chacun et dont nous ne manquerons pas de parler, mais nous avons souhaité aujourd'hui aborder le sujet d'une manière extrêmement pragmatique.
Je vous remercie tous d'être présents ce jour. Monsieur Philippe Laurent, Maire de Sceaux, nous fait l'honneur de participer activement à cette table ronde.
Monsieur Richard Buisset, vous êtes le Directeur général du Syndicat interdépartemental pour l'assainissement de l'agglomération parisienne (SIAAP).
Général Degez, vous représentez l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en tant que Chef de la division coordination territoriale de cette agence.
Le sujet est extrêmement important, car nous parlons fréquemment des attaques de collectivités, d'hôpitaux, etc., mais nous savons aujourd'hui que des attaques sur des stations de production et de distribution d'eau potable ou d'assainissement constituent des menaces absolument conséquentes et qui peuvent être effrayantes. Je suis heureuse que nous puissions parler de ce sujet.
Nous avons eu l'occasion déjà de travailler en coopération avec l'ANSSI, car la délégation a élaboré un rapport sur la cybersécurité. Vous êtes accompagné de Monsieur Guillaume Crépin, Délégué régional de l'ANSSI pour l'Île-de-France, et de Monsieur Gilles Pirman, Chargé de mission stratégie des territoires. Enfin, Monsieur Achille Lerpinière, vous intervenez au nom de la région Île-de-France dont vous êtes le Directeur des systèmes d'information (DSI).
Quand nous avons travaillé sur la cybersécurité dans les collectivités, nous nous sommes rendus compte du degré d'indifférence de nombreuses collectivités sur le sujet et du fait que certaines collectivités et certains élus pensaient que, dans la mesure où ils avaient un responsable des systèmes d'information, rien ne pouvait leur arriver. Or, il est nécessaire d'avoir un portage politique extrêmement fort sur ce sujet.
Monsieur Laurent, vous avez la parole.
M. Philippe Laurent. - Merci Madame la Présidente et bienvenue à toutes et à tous.
Je voudrais apporter le témoignage de ma ville de
20 000 habitants qui est confrontée à la situation que chacun
connaît, sous le contrôle de
Monsieur Sébastien Zumbo,
notre chef du service des systèmes d'information, lequel est à la
fois passionné et inquiet de ces questions. Monsieur Sébastien
Zumbo nous a ainsi convaincus de la nécessité de mettre en place
un plan d'action ambitieux sur la question de la sécurité
informatique et de la lutte contre les cyberattaques. Ce plan d'action repose
sur trois grands piliers : la sensibilisation et la formation des agents, ce
travail devant être relancé en permanence, car le nombre
d'attaques est de plus en plus important et les attaques sont de plus en plus
subtiles ; l'augmentation du niveau de sécurité des accès
aux systèmes d'information, ce qui passe par un certain nombre de
techniques (double authentification, logiciels agréés ANSSI,
audits de sécurité réguliers, refonte du réseau
informatique) ; l'établissement du plan de continuité
informatique avec des sauvegardes sur des sites différents et tout un
ensemble de processus qui ont nécessité la mise en place d'un
budget important. En 2020, le budget consacré à la
sécurité informatique s'est élevé à environ
30 000 euros. En 2024, ce budget est évalué à 165 000
euros, soit un peu moins d'un point d'impôt pour une ville comme Sceaux,
ce qui représente une somme très importante. Cela devient donc un
vrai enjeu, y compris pour des collectivités de taille moyenne comme la
nôtre.
Mme Françoise Gatel, présidente. - Vous avez dit à juste titre qu'il était nécessaire de sensibiliser les agents de la mairie et les collaborateurs, mais il est également nécessaire de sensibiliser et de former les élus, notamment ceux des petites communes dans lesquelles le risque est peut-être moins spontanément perçu. Merci beaucoup. Je passe la parole à Monsieur Buisset. J'attire l'attention sur le fait que le sujet que nous abordons est important et que, compte tenu des risques qui l'entourent, nous devons être extrêmement prudents, discrets et réservés. Il est dès lors impératif de préserver la confidentialité de certaines questions sensibles pouvant être abordées par Monsieur Buisset.
M. Richard Buisset, Directeur général du Syndicat interdépartemental pour l'assainissement de l'agglomération parisienne (SIAAP). - Le SIAAP concerne 9 millions d'usagers. Il s'occupe du transport des eaux usées et de leur assainissement, ainsi que des stations d'épuration. Le SIAAP fait face à des enjeux importants, notamment avec la perspective des Jeux olympiques. Il s'agit d'un contexte dans lequel les menaces de cyberattaques sont croissantes. Le SIAAP gère 6 stations d'épuration, emploie 1 800 agents et dépense annuellement 1 milliard d'euros en fonctionnement et en investissement. Nous disposons d'une régie informatique et nous exploitons nous-mêmes nos stations d'épuration à l'exception de la station de Seine Valenton. Notre DSI exploite elle-même ses data centers et ses serveurs.
En ce qui concerne la cyberattaque dont nous avons
été victimes, cela a commencé par un phishing,
à savoir des e-mails que reçoivent les agents et dans lesquels
ces derniers se voient demander leur mot de passe. Ces e-mails ont
été envoyés à 200 agents du SIAAP et l'un d'entre
eux y a répondu en donnant son mot de passe, sans se rendre compte qu'il
était victime d'une attaque. L'assaillant a ensuite pris le
contrôle de sa boîte e-mail et envoyé des milliers d'e-mails
de phishing à d'autres collègues. La boîte e-mail
de l'agent concerné a été fermée, les process ont
été vérifiés et nous avons commencé à
renforcer les accès. Or, un mois plus tard, les attaques sont devenues
plus intelligentes : nous recevions nos propres e-mails en phishing,
dans lesquels il nous était demandé de cliquer sur un lien.
Au-delà de la messagerie, il est apparu que la cyberattaque avait
atteint le système de gestion. Avec l'ANSSI, nous avons
décidé de tout couper. Cette coupure nous a sauvés dans la
mesure où l'assaillant n'a pas pu entrer, mais il a fallu se couper du
monde pendant une journée. Nous avons embauché des partenaires
informatiques pour venir scanner et remettre le réseau en
place.
Finalement, seul un serveur de messagerie a été touché.
Des e-mails nous ont été volés, ainsi que notre annuaire
avec nos photographies et coordonnées (nom, fonction, etc.). Nous avons
été touchés car nous aurions dû avoir prévu
davantage de précautions. Mais nous avons mis toute l'énergie de
notre service public à ressortir plus forts de cette crise.
Nous nous sommes dotés d'une nouvelle messagerie.
Nous avons craint à un moment de perdre notre nom de domaine, mais nous
l'avons
conservé. Nous avons mis en place une solution Endpoint
Detection and Response (EDR). Il s'agit d'un logiciel qui surveille tout
ce qu'il se passe d'anormal sur nos serveurs grâce à l'IA et qui
envoie des alertes. Pour traiter les alertes, nous avons également mis
en place un security operations center (SOC), un centre de crise qui
surveille les réseaux 24 heures / 24, reçoit les alertes par les
logiciels EDR et les traite en temps réel. Nous ne sommes pas
suffisamment importants en taille pour disposer de notre propre SOC que nous
sous-traitons dès lors à un
prestataire. L'infrastructure est
ainsi en cours de modernisation.
En termes financiers, nous avions réalisé un audit informatique de notre système d'information en tant que service public industriel et il était apparu qu'il fallait consacrer deux points d'impôt à la sécurité informatique plutôt qu'un point. De nombreuses dépenses constituent ainsi un rattrapage de ce que nous n'avions pas fait auparavant.
Le SIAAP est un opérateur de service essentiel (OSE) au titre du transport et du traitement des eaux usées et fluviales, mais pas un opérateur d'importance vitale (OIV). Nous avons avancé sur plusieurs sujets durant la cyberattaque, dont la gestion de crise, le traitement des salaires, etc. Nous avons encore du travail et nous avançons à marche forcée. Nous rattrapons un retard de règles que nous n'avions pas implémentées, un retard qui ne se limite pas aux logiciels, mais qui concerne également l'organisation. Nous avons par exemple des serveurs qui doivent fonctionner 24 heures / 24, mais nos agents avaient peur de les mettre à jour, craignant de perturber le système. Par ailleurs, même si les agents ont des mots de passe et sont sensibilisés à la sécurité informatique, des erreurs humaines interviendront toujours. Il est donc nécessaire de mettre en place une double authentification pour accéder aux messageries. Il faut collaborer avec l'ANSSI et surveiller 24 heures / 24 le système d'information du SIAAP.
Mme Françoise Gatel, présidente. - Merci. Votre intervention suscite immédiatement deux réflexions. La première porte sur la nécessité d'une sensibilisation de toutes les collectivités et de leurs satellites sur le sujet. Des actions sont entreprises, et je remercie à cet égard l'ANSSI et l'Association des maires de France. J'ai adressé un courrier à Monsieur le Ministre de l'Intérieur lui suggérant d'inviter les préfets à être proactifs et à s'assurer que les collectivités ont bien conscience du sujet et de l'importance de la mise en oeuvre d'un dispositif, car l'enjeu est majeur. Deuxièmement, nous parlons souvent finances au Sénat et nous avons permis que l'État accompagne financièrement des dépenses extrêmement urgentes en prévention contre les incendies et les inondations. Quand j'entends parler d'un ou de deux points d'impôt, je doute que les collectivités qui font preuve d'une grande frugalité dans leurs finances soient sur le point d'inscrire dans leurs priorités les investissements nécessaires à la cybersécurité. Je pense vraiment qu'il faudra être extrêmement attentifs, lors de la prochaine loi de finances, à ce que l'État accompagne financièrement les investissements nécessaires.
Général, je vous remercie de l'extrême qualité du travail de l'ANSSI et de votre attitude proactive envers les collectivités. Je crois que d'importants progrès ont été faits autour du monde de l'entreprise, mais que le niveau d'action n'est pas le même pour les collectivités.
Général François Degez, Chef de la division coordination territoriale de l'ANSSI. - Je me présente, j'ai quarante années de service actif au sein de la gendarmerie. J'ai servi dans les Hautes-Alpes, en Loire-Atlantique, dans le Limousin et en Corse, dans des fonctions territoriales. Les gendarmes sont au contact de toutes les collectivités. Je suis également ingénieur de formation et cette double culture m'a amené à rejoindre l'ANSSI au sein de laquelle j'ai opté pour la coordination territoriale.
En ce qui concerne la menace, elle n'a pas tellement baissé. Il n'existe pas d'importante évolution en termes de cibles, mais les collectivités sont un peu plus encore sensibles à ce genre d'attaque.
L'ANSSI a des missions de défense - elle ne fait
pas d'attaque ni de contre-manipulation d'information. Elle est
l'héritière du bureau de secret du
roi. Elle s'est donc
progressivement intéressée à la diplomatie, aux structures
de fonctionnement de l'État, puis, de proche en proche, aux
opérateurs d'importance vitale et, depuis 2018, aux opérateurs de
services essentiels, toujours avec une culture de l'excellence technique et
avec pour objectif la protection des enjeux majeurs. Depuis cinq ou six
années, cependant, l'ANSSI s'est rendue compte que le numérique
est devenu central et que la cyberdélinquance s'accroît. Or, face
à une cyberdélinquance, il faut des dispositifs de protection de
masse. L'ANSSI ne se contente donc plus de protéger les systèmes
les plus importants. Il s'agit d'un véritable tournant culturel pour
l'ANSSI qui doit conserver cette excellence de très haut niveau. C'est
80 % de son activité opérationnelle qui vise à
répondre à une ingérence étrangère.
L'ANSSI s'est déployée progressivement dans
les territoires
pour un accompagnement allant au-delà de ses
bénéficiaires
traditionnels. Historiquement centrée
sur la région parisienne, l'agence a désormais des
délégués en région, qui sont en contact avec toutes
les administrations, avec les réseaux des chambres consulaires et avec
les réseaux des collectivités territoriales. Malgré la
crise sanitaire, l'ANSSI a bénéficié d'un plan de relance
doté d'un budget de 176 millions d'euros, dont plus de
100 millions
d'euros ont été exclusivement dédiés aux
collectivités ; 715 collectivités ont ainsi pu
bénéficier d'un parcours de cybersécurité
comprenant tout d'abord un audit payé intégralement par l'ANSSI
à hauteur de 40 000 euros, avec un état des lieux complet et un
plan d'action, puis un financement des principales actions à mener
à hauteur de 50 000 euros. Cela a permis aux collectivités de
lancer un plan d'action et un plan d'amélioration continue en
matière de cybersécurité. Ce sujet n'est pas uniquement
technique, mais il implique également une question de gouvernance.
J'ai par ailleurs acquis la certitude, depuis que j'ai rejoint l'ANSSI il y a deux ans, que les compétences sont insuffisantes sur ce sujet et qu'il convient donc de les mutualiser. Il s'agit de mouvements que nous essayons d'encourager parmi les opérateurs. Nous nous sommes notamment appuyés sur les opérateurs publics de services numériques (OPSN) dans le cadre du plan de relance pour mettre à disposition des petites collectivités des produits de sécurité de base que nous avons subventionnés pour l'essentiel. Nous développons par ailleurs d'autres outils : nous avons notamment mis en place depuis deux ans MonServiceSécurisé, une plateforme qui permet de dérouler un processus simplifié d'homologation. Pour rappel, le règlement général de sécurité datant de 2018 impose à toute administration, dès lors qu'elle échange de manière numérique soit avec les citoyens, soit avec une autre administration, d'homologuer ses services d'échanges au regard des règles de sécurité. Nous avons par ailleurs des services automatisés, dont le service active directory service (ADS). La plupart des systèmes d'information s'appuient en effet sur un annuaire sur lequel sont concentrés les bases de données et les droits d'accès. Or, lors d'une attaque, un phishing peut permettre à l'assaillant de rentrer dans ce système. Il faut donc que la gestion des comptes à privilèges (ceux qui ont le droit de modifier des paramètres de fonctionnement du système) soit protégée. Nous avons également un outil intitulé MonAideCyber qui est particulièrement adapté aux petites collectivités. Il s'agit de mettre en place un mécanisme d'audit assisté avec des propositions immédiates d'information.
Je voudrais enfin vous parler de NIS 2, une directive européenne promulguée en fin d'année dernière et qui doit être transposée en droit français avant la fin de l'année 2024. Cette directive étend les périmètres des entités réglementées de manière extrêmement importante. Avec NIS 1, les OIV comptaient 500 opérateurs (eau, électricité, énergie, télécommunication, finance, etc.). NIS 2 élargit les secteurs d'activité concernés, ce qui fera passer le nombre d'opérateurs régulés de 500 à 15 000, dont les administrations publiques et locales (y compris les collectivités). La proposition que nous ferons consiste à faire en sorte que les très grosses collectivités (départements, régions, grosses intercommunalités jusqu'au niveau des communautés d'agglomération) soient assujetties au niveau « hautement critique », tandis que les 992 communautés de communes seraient assujetties à un niveau « de base ». Cette mécanique a pour vocation de couvrir l'ensemble du territoire. Quant aux communes, nous avons fixé le seuil à 30 000 habitants pour qu'une commune soit assujettie au niveau « entité essentielle », mais nous cherchons à privilégier les processus de mutualisation et de regroupement.
Mme Françoise Gatel, présidente. - Merci. Nous compléterons certainement par les questions de nos collègues et je vais passer la parole à Guillaume Crépin, Délégué pour la région Île-de-France pour l'ANSSI.
M. Guillaume Crépin, Délégué pour la région Île-de-France de l'ANSSI. - Je vais rapidement vous présenter le rôle du délégué en région, ce qui vous permettra de vous tourner vers mes homologues dans d'autres régions afin de comprendre ce que nous faisons et comment vous pouvez vous appuyer sur nous. Le délégué en région représente le Directeur et l'ensemble des services et des métiers de l'agence dans la région dans laquelle il exerce. Il est installé aux côtés, et non pas sous l'autorité, du préfet de région. Il a ainsi une vision préfectorale de la région, ce qui lui permet d'aller au contact des préfets départementaux pour les aider à piloter un écosystème territorial et améliorer la résilience territoriale en matière de cybersécurité. Nous opérons dans le cadre privé et public et notre travail consiste donc à approcher aussi bien les organismes privés à travers les chambres consulaires, les fédérations professionnelles, les associations de professionnels et les chambres de métiers, afin de les aider à améliorer la sécurité numérique de leurs adhérents et de leurs entreprises (fédération française du bâtiment, MEDEF, CPME, etc.), que les organismes publics par le biais des préfets, afin de toucher les collectivités territoriales. Quand nous ne passons pas par les préfectures, nous pouvons directement passer par les intercommunalités. Nous sommes dans un rôle de « faire faire », un rôle d'accompagnement. Nous ne pouvons cependant pas accompagner individuellement chaque entreprise, chaque collectivité, chaque intercommunalité individuellement, raison pour laquelle nous nous focalisons sur des points mutualisants qui, eux, porteront des actions concrètes vers leur écosystème avec les recommandations de l'ANSSI qui leur souffle les bonnes pratiques à l'oreille de manière à ce que cela soit fluide, car ils connaissent leur territoire, leurs procédures et mécanismes et ils sont donc en capacité d'adapter les mesures, les ressources et les langages à leur propre écosystème.
Je reviens sur cette proposition que vous avez faite d'écrire au ministère de l'Intérieur pour engager les préfets dans une démarche vers les collectivités territoriales. Cela a déjà été fait en réalité : les préfets ont reçu en avril 2022 une note du ministère de l'Intérieur qui leur demande, en région et en département, de désigner un référent numérique dans le corps préfectoral de chacune des préfectures de département afin d'accompagner la montée en sécurité numérique dans l'écosystème départemental. Cela a plus ou moins bien été accueilli selon l'appétence du préfet et son agenda. J'ai rencontré l'un des premiers référents numériques au sein d'un département, mais ce dernier m'a reçu alors qu'il était en train de gérer la crise des stations-service qui étaient vides. Ce dispositif existe néanmoins et nous nous appuyons largement sur cette note pour essayer d'impulser quelque chose auprès des préfets et trouver en eux des relais pour toucher les collectivités territoriales. Il existe aujourd'hui un, voire deux délégués de l'ANSSI par région. À terme, il est prévu de doubler les effectifs dans chacune des régions. Nous avons par ailleurs depuis un an et demi un délégué dédié exclusivement aux territoires ultramarins, et à la Corse.
Mme Françoise Gatel, présidente. - Merci pour cette présentation. La délégation aux collectivités territoriales a aussi pour objet de faire savoir et de sensibiliser les élus aux services auxquels ils peuvent avoir recours. En ce qui concerne la mutualisation, nous avons notamment pointé dans notre rapport l'urgence d'une sensibilisation et de la mise en oeuvre d'un contrôle selon une échelle pertinente, tant en termes de coûts qu'en termes de ressources humaines qualifiées. Il est ainsi plus efficace de recruter cette compétence à l'échelle de l'intercommunalité, voire du département.
Je vais passer la parole à Monsieur Gilles Pirman, Chargé de mission stratégie des territoires pour l'ANSSI.
M. Gilles Pirman, Chargé de mission stratégie des territoires pour l'ANSSI. -Le poste que j'occupe est tourné vers les collectivités territoriales et pourra servir de plateforme entre l'ANSSI et les associations et organisations territoriales. Mes missions à court terme portent sur l'accompagnement de cette nouvelle norme européenne qui sera traduite dans la loi à l'automne 2024, et notamment sur l'accompagnement méthodologique et organisationnel dans les territoires.
Mme Françoise Gatel, présidente. - Il m'a été dit que vous interviendrez parfois au Conseil national d'évaluation des normes.
Je passe la parole à Monsieur Achille Lerpinière, Directeur des systèmes d'information pour la région Île-de-France.
M. Achille Lerpinière, Directeur des systèmes d'information (DSI) pour la région Île-de-France. - Merci beaucoup Madame la Présidente, Mesdames et Messieurs les Sénateurs, Monsieur le Maire, Mesdames et Messieurs. Corse d'origine, je suis à la région Île-de-France depuis un an maintenant en tant que directeur des systèmes d'information. J'ai auparavant passé quatre ans au ministère de la Santé, notamment sur tous les systèmes d'information Covid (TousAntiCovid, pass sanitaire, etc.). J'ai donc une culture cyber très ancrée sur la partie relative aux données de santé. Aujourd'hui avec la région Île-de-France, j'ai de nouveaux sujets cyber très importants. Au sein de la région, notre budget cyber annuel s'élève à 1,6 million d'euros en investissement et 600 000 euros en fonctionnement. En tant que deuxième financier public des Jeux olympiques de Paris, nous avons considérablement renforcé notre posture cyber et nous avons ainsi un XDR (pour détection et réponses étendues), un EDR (pour détection et réponse des endpoints), un Tehtris (outil de cybersécurité de neutralisation automatique des cybermenaces) et un SOC (pour contre opérationnel de sécurité) avec Orange Cyberdefense. Nous avons changé notre politique de gestion des mots de passe en utilisant le modèle en tiers (tiering model) pour contenir les usages bureautiques, serveurs et administrateurs. Nous avons un responsable de la sécurité des systèmes d'information (RSSI) au sein de la région et nous déployons une culture cyber avec une formation cyber obligatoire chaque année pour tous les agents. Entre trois et quatre tests de simulation de phishing sont menés chaque année en grandeur réelle sur l'intégralité des élus et des agents de la région.
Nous avons par ailleurs réuni hier une cellule de crise cyber en taille quasiment réelle, ce que nous referons en impliquant le cabinet de la présidence et la communication.
Nous allons renforcer notre posture cyber et diffuser
cette culture cyber au sein de la région Île-de-France avec les
trois points que je vais vous
présenter. Premièrement, nous
avons lancé le 27 novembre 2023 notre centre de réponse à
l'incident cyber pour la région Île-de-France en cofinancement
avec l'ANSSI, avec un numéro gratuit, un site internet et une adresse
e-mail. Ce centre de réponse à l'incident cyber est ouvert
gratuitement à toutes les collectivités, TPE, PME, ETI,
associations et établissements publics assimilés en
Île-de-France qui peuvent directement contacter le numéro ou
utiliser le formulaire afin de faire part d'une attaque cyber en cours. Ce
centre de réponse à l'incident cyber va tout de suite
procéder aux « gestes de premier secours » et
leur proposer une mise en relation avec des sociétés expertes de
niveau 2 pour les aider à faire de la remédiation d'incidents.
Dans ce cadre, nous avons fait un appel d'offres pour les collectivités
et nous avons sélectionné trois prestataires, avec Orange
Cyberdefense en rang 1, Intrinsec en rang 2 et Almond en rang 3. Si les
collectivités sont redirigées vers ces prestataires, elles
bénéficieront d'un tarif négocié grâce
à notre centrale d'achat. Pour le niveau 2 des PME, ETI et associations,
nous avons lancé un appel à manifestations d'intérêt
avec des prestataires qui sont a minima labellisés ANSSI ou
d'autres labels experts cyber. Nous avons déjà une dizaine
de labels référencés et l'idée sera d'en
référencer une quarantaine. En parallèle, nous avons
lancé le chèque cyber de 5 000 euros à 10 000
euros pour aider à renforcer la posture cyber des PME et des
collectivités.
Deuxièmement, nous avons développé
un outil complémentaire pour scanner la posture cyber de toutes les
collectivités d'Île-de-France. La présidente a
envoyé un courrier à toutes ces collectivités leur
précisant ce que faisait ce scan non intrusif pour mesurer la
vulnérabilité éventuelle de la messagerie et des
protocoles web. Les maires peuvent se retirer de ce processus s'ils le
souhaitent. L'idée consiste à « scorer »
chaque collectivité pendant trente jours glissants. Nous leur remettons
un tableau de performance reprenant les potentielles
vulnérabilités. Nous choisissons chaque semestre 300
collectivités ayant les notes les plus basses, lesquelles sont
appelées afin de leur proposer d'améliorer leur posture. Six mois
plus tard, un rapport leur est remis pour montrer si ce qu'elles ont fait a
été utile.
Enfin, nous avons ouvert notre SOC en centrale d'achat à toutes les collectivités et à tous les organismes associés de la région, afin de leur permettre de bénéficier de prix plus intéressants auprès d'Orange Cyberdefense. Nous mettons également en place un réseau des RSSI et des directeurs techniques avec tous les organismes associés de la région afin de renforcer la posture cyber de ces derniers.
Mme Françoise Gatel, présidente. - Merci beaucoup pour cette présentation. Il est extrêmement intéressant de voir la démarche de la région Île-de-France. Je vois deux demandes de prise de parole : Madame Pascale Gruny et Monsieur Jean-Jacques Michau.
Mme Pascale Gruny. - Merci pour votre présentation. Ce sujet m'a toujours interpellée durant ma carrière professionnelle en comptabilité et en tant que directrice financière. Il n'était pas question de cyberattaques quand j'ai débuté ma carrière. J'ai été très étonnée d'apprendre le nombre d'attaques quotidiennes au sein du département de l'Aisne, notamment russes. Pensez-vous que les communes peuvent financièrement faire de l'infogérance, à savoir externaliser complètement leur système informatique, leur système numérique, leur maintenance et leur sécurité ?
M. Jean-Jacques Michau. - Je suis le président de l'association des maires de mon département et la question qui se pose est celle du déni de la problématique des cyberattaques. Est-il possible de prévoir des subventions pour réaliser les études et investissements nécessaires ?
M. Laurent Burgoa. - Au Sénat, nous sommes très favorables aux communes, qui constituent la collectivité de référence. Or, la structure territoriale la mieux à même de répondre à la cybercriminalité ne serait-elle pas plutôt l'intercommunalité qui pourrait pour une fois être mise en avant ?
M. Max Brisson. - Mon Général, vous avez parlé de mutualisation. J'ai deux questions. Le mille-feuille et la multiplication des collectivités françaises par rapport aux autres pays européens sont-ils un handicap pour ces questions de sécurité et de cybersécurité ? Sommes-nous en retard ou en avance par rapport aux autres pays européens dans la protection des collectivités face à la cybercriminalité ?
Mme
Françoise Gatel,
présidente. - La question de la
nécessité de transférer une compétence, ou de
mutualiser des moyens, se pose bel et bien. Le sujet de la
cybersécurité constitue l'exemple même de la pertinence
d'une intercommunalité, pour faire ensemble ce que nous ne pouvons pas
faire
seul : optimiser la dépense et mutualiser les services.
Mme Sonia De La Provôté. - Il me semble que la question pourrait se poser du caractère obligatoire, et non facultatif, de la compétence à l'échelon intercommunal. Il s'agit de savoir où doit se situer le service opérationnel de la collectivité, car les voies d'accès deviennent multiples et il faut qu'un chef de file gère ce sujet.
M. Laurent Somon. - Est-il possible, dans les marchés publics et les délégations de service public, d'imposer qu'une attention particulière soit portée ou qu'un engagement soit de mettre en place une cybersécurité ?
Madame Françoise Gatel quitte la séance à 12 heures.
Monsieur Laurent Burgoa reprend la présidence de la séance.
Général François Degez. - Créer une compétence est un processus législatif. De notre point de vue, le sujet majeur de la protection des systèmes d'information est un sujet de compétences humaines, de ressources et de compétences qu'il faut organiser et mutualiser. La question se pose de savoir s'il faut créer une compétence numérique en cybersécurité et, le cas échéant, quels en seraient les contours exacts, ce qui relève d'un travail de fond du côté du législateur.
Le Morbihan est exemplaire en la matière. Le préfet du département, le président de l'assemblée départementale et les établissements publics de coopération intercommunale locaux ont créé un groupe de travail sur la cybersécurité des collectivités qui met en place une réflexion sur ces sujets.
Mme Pascale Gruny. - Quel est le statut juridique de cette instance ?
Général François Degez. - Il s'agit d'un groupe de travail mutualisé. J'ai la conviction qu'il n'existe pas de modèle unique, mais qu'il faut une mutualisation, qu'elle se fasse au niveau de l'intercommunalité ou, comme le fait la Dordogne, au niveau du département avec un data center mis à disposition de toutes les collectivités qui souhaiteraient faire héberger leurs données. À Concarneau en Bretagne, le système d'information a été mutualisé pour les communes alentour.
M. Laurent Burgoa. - Les élus attendent une boîte à outils dans laquelle ils puissent choisir.
M. Laurent Somon. - Dans la Somme, le syndicat mixte « Somme Numérique » offre un data center et tous les services de protection de messagerie.
Général François Degez. - Il s'agit d'un opérateur public de services numériques (OPSN). Il existe en effet de nombreuses solutions possibles, l'essentiel étant que des regroupements se fassent à une taille suffisamment critique, de manière à ce qu'il soit possible d'assumer une stratégie de mise en sécurité sur le long terme.
M. Laurent Burgoa. - Avez-vous une action de formation à l'attention des sous-préfets qui constituent l'échelon le plus proche des élus locaux ?
Général François Degez. - Nous avons évoqué le référent numérique qui doit en principe être désigné au sein de chaque département dans un but de coordination.
Mme Sonia De La Provôté. -Y en a-t-il partout ?
Général François
Degez. - Je ne connais pas le nom de tous les
référents. Nous sommes en cours de réflexion avec le
ministère de l'intérieur afin de redonner de l'impulsion. La
dotation d'équipements des territoires ruraux (DETR) constitue notamment
l'une des pistes que nous suggérons.
M. Laurent Burgoa. - La DETR est déjà très sollicitée.
M. Guillaume Crépin. - Tout l'intérêt pour l'ANSSI d'avoir des délégués en région consiste à connaître les spécificités de chacune des régions. Il faut en effet s'adapter et nous ne pouvons pas, par le haut, imposer un régime public identique à tous. Il est important pour les délégués régionaux de l'ANSSI d'être immergés dans l'ensemble de l'écosystème régional, qu'il soit public ou privé, pour connaître les spécificités et les besoins et encourager la mutualisation. Notre vrai travail de fond consiste à chercher des ressources susceptibles d'être mutualisées, faire émerger les acteurs de ces mutualisations quand ils n'existent pas, accompagner ceux qui montent en compétence et renforcer ceux qui existent déjà. Je suis par exemple en train d'aider un syndicat mixte à modifier complètement son paradigme : alors qu'auparavant, ce syndicat avait pour mission de connecter les communes à la fibre, il a aujourd'hui changé ses statuts pour proposer également des ressources mutualisées de sécurité numérique à destination des collectivités du département.
M. Achille Lerpinière. - Nous imposons notre plan d'assurance sécurité dans tous les marchés de prestataires afin qu'ils se conforment au plan de sécurité du système d'information (PSSI) régional. En matière de mutualisation, nous avons un data center à Saint-Ouen et un data center mutualisé avec un GIP Val-d'Oise Numérique que nous partageons avec la Haute Autorité de Santé, l'Inserm et l'Agence de biomédecine. S'agissant de l'infogérance et des services managés, il est intéressant de les mutualiser au vu de leur coût, soit 15 millions d'euros par an pour l'infogérance uniquement.
M. Laurent Burgoa. - Je vous remercie au nom de la présidente et de l'ensemble de mes collègues pour la qualité de vos interventions