L’étude « Menaces informatiques et pratiques de sécurité en France » (MIPS) est conduite par le Clusif depuis 2008. Sa représentativité, sa régularité, la rigueur de sa méthode et les experts qui se consacrent à l’analyse de ses données offrent une vision précise des tendances et des mutations de la sécurité de l’information.
Nous proposons aujourd’hui un zoom sur le volet « Collectivités territoriales » de cette étude, avec un point sur l’évolution depuis 2008 de leurs pratiques en matière de cybersécurité.
Organisation de la sécurité de l’information
En 2020, 52% des collectivités ont clairement identifié et attribué la fonction de RSSI soit une hausse de 30 points en 12 ans (2008-2020). Leur temps se répartit en plusieurs aspects : techniques, opérationnels, fonctionnels, communicationnels dont la sensibilisation et juridiques.
En 2020, les principaux freins identifiés par nos répondants à la conduite des missions de sécurité de l’information étaient :
Nous relevons une tendance à citer de plus en plus de freins, avec en particulier une augmentation des réticences de la DGS ou des élus, des contraintes organisationnelles voire, dans une moindre mesure, du manque de personnel qualifié.
Contrôle d’accès
En 2020, 3,2 types différents de contrôle d’accès sont utilisés en moyenne par les collectivités, soit une augmentation de 1,4 en 12 ans.
Elles se répartissent de la manière suivante :
Sécurité liée à l’exploitation
Pour faire face à l’augmentation constante de la menace et des attaques, les collectivités ont mené une consolidation de leur sécurisation. On peut citer par exemple la systématisation des antivirus
Logiciel permettant le repérage et l'élimination d'un programme malveillant sur une machine.
et des logiciels antispam. Les outils de pare-feu
Système de protection fournissant une connectivité contrôlée et maîtrisée entre des zones de différents niveaux de confiance. Le pare-feu assure la sécurité des informations internes à un réseau local en filtrant les entrées et en contrôlant les sorties selon des procédures automatiques préétablies.
progressent également de manière notable. En 2020, la sécurité liée à l’exploitation était assurée via 6,5 types différents de protection.
Gestion des incidents et continuité de l’activité
Nous observions en 2020 une faible capitalisation sur les incidents, ce qui entraînait une très faible formalisation de la formalisation de la gestion de crise cyber. La mise en œuvre de plans de conduite ou de reprise d’activité (PCA/PRA) ne concernait encore qu’un quart des collectivités. Toujours en 2020, seules 33% des collectivités possédant un PCA déclaraient le tester par leurs utilisateurs « métiers » au moins une fois par an, un chiffre malgré tout en une augmentation de 16 points en 8 ans (2012-2020).
Conformité
En 2020, 57% des collectivités sont conformes au RGS, soit une hausse de 20% en 12 ans (2008-2020).
Les collectivités se trouvent de plus en plus fréquemment confrontées à des actes de cybermalveillance. La capitalisation des incidents et l’organisation de la réponse à incident étaient encore trop faibles lors de notre dernière étude et nécessitent une plus grande allocation de moyens tant humains que financiers. Mais globalement, les dynamiques sont favorables et l’analyse agrégée de nos indicateurs le montre très bien.
L’étude MIPS du Clusif permet de porter un regard précis sur l’évolution de la prise en compte du risque cyber par les collectivités territoriales. Notre volonté est également de fournir des réponses et un soutien aux professionnels de ce secteur, c’est pourquoi le Clusif anime un « Espace Coter », lieu d’échange et de retours d’expérience entre RSSI de collectivités territoriales.
Inscrivez-vous et accèdez à l’ensemble de l’actualité GRACES.Community.