Cybersécurité : la maturité n’est toujours pas au rendez-vous

Infopro digital a sondé 201 élus, DGS/DGA, directeurs de cabinet et de service de collectivités territoriales, au mois d’avril, pour HarfangLab. Le but ? Évaluer leur rapport à la cybersécurité.

De prime abord, et alors que plus de 150 collectivités victimes de cyberattaque avec ransomware ont été recensées en France depuis 2020, par LeMagIT, les résultats peuvent paraître encourageants : 44 % des répondants considèrent que la cybersécurité est une priorité. 

Mieux encore : 42 % assurent qu’élus et agents adhèrent facilement « aux problématiques de cybersécurité ». Toutefois, 9 % s’y disent réfractaires. 

Reste que 37 % des sondés reconnaissent que leur collectivité a déjà été victime de cyberattaque. Et dans ce cas, 96 % ont pris des mesures après coup.

Mais très vite, un résultat interroge sur la réelle maturité des répondants : 29 % d’entre eux se disent en avance sur le sujet, un concept dépourvu de sens dans un domaine où, tout au mieux, il est possible de se dire (avec humilité) à l’état de l’art. Comparativement, les 31 % des sondés qui se disent en retard apparaissent presque plus mûrs. 

Et si la maturité passe par la prise de conscience de l’exposition au risque, d’autres résultats suggèrent qu’elle n’est pas encore au rendez-vous : 60 % des répondants représentant des collectivités de moins de 5 000 habitants disent ne pas se sentir exposés. Et pour les agglomérations de plus de 100 000 habitants, seuls 71 % des répondants se sentent concernés par la menace. Malgré les exemples médiatisés, seules 59 % des communes urbaines se sentent menacées, et seulement 41 % des communes rurales.

Autre source de questionnement, les mesures prises après cyberattaque. 43 % des sondés mentionnent formation et sensibilisation, mais seulement 29 % une amélioration de la gestion des sauvegardes et de l’équipement. De quoi interroger sur, notamment, la gestion des vulnérabilités ou le déploiement de solutions d’authentification à facteurs multiples. L’EDR ? 24 % disent y être passés après une cyberattaque.

Du côté des entreprises, la situation est-elle vraiment meilleure ? Wavestone s’est penché sur la question en établissant des scores relatifs aux exigences des normes NIST CSF et ISO 27001/2 pour 150 organisations représentant près de 7 millions d’utilisateurs. 

Selon l’étude du cabinet, le « niveau de maturité général » atteint… 53 %, avec une pointe à 88,9 % pour les organisations les plus mûres du secteur des services financiers. Surtout, 54 % des petites et moyennes entreprises du panel « sont jugées en situation critique » face à la menace des ransomwares « car ne maîtrisant pas les basiques requis pour résister à ce type d’attaques ». 

Les grands groupes affichent toutefois une meilleure posture, « du fait de leur niveau de maturité de 56,9 % ». Pour Wavestone, ces grandes entreprises au chiffre d’affaires supérieur à 1 milliard de dollars « ne sont plus forcément des cibles faciles pour les cybercriminels ».