COLLECTIVITÉS TERRITORIALES : ÉVOLUTION DES PRATIQUES CYBER DEPUIS 2008

Christophe BARDY - GRACES community
20/9/2023
Propulsé par Virginie
Cet article est réservé aux membres GRACES.community

L’étude « Menaces informatiques et pratiques de sécurité en France » (MIPS) est conduite par le Clusif depuis 2008. Sa représentativité, sa régularité, la rigueur de sa méthode et les experts qui se consacrent à l’analyse de ses données offrent une vision précise des tendances et des mutations de la sécurité de l’information.


Nous proposons aujourd’hui un zoom sur le volet « Collectivités territoriales » de cette étude, avec un point sur l’évolution depuis 2008 de leurs pratiques en matière de cybersécurité.


Organisation de la sécurité de l’information

En 2020, 52% des collectivités ont clairement identifié et attribué la fonction de RSSI soit une hausse de 30 points en 12 ans (2008-2020). Leur temps se répartit en plusieurs aspects : techniques, opérationnels, fonctionnels, communicationnels dont la sensibilisation et juridiques.

20230606 le clusif historique mips kpis collectivites 05.06.23

En 2020, les principaux freins identifiés par nos répondants à la conduite des missions de sécurité de l’information étaient :

  • Le manque de personnel qualifié (39%)
  • Les contraintes organisationnelles (32%)
  • Le manque de connaissances (30%)
  • Le manque de budget (28%)
  • La réticence des métiers ou des utilisateurs (25%)
  • La réticence de la direction générale des services ou des élus (12%)
  • La réticence de la DSI (2%)
  • Autres (10%)


Nous relevons une tendance à citer de plus en plus de freins, avec en particulier une augmentation des réticences de la DGS ou des élus, des contraintes organisationnelles voire, dans une moindre mesure, du manque de personnel qualifié.


Contrôle d’accès

En 2020, 3,2 types différents de contrôle d’accès sont utilisés en moyenne par les collectivités, soit une augmentation de 1,4 en 12 ans.

Elles se répartissent de la manière suivante :

  • Authentification forte par certificat électronique sur support matériel (carte à puce ou clé à puce) : 52% (+10 points)
  • Authentification par certificat électronique logiciel (token, OTP sur clé ou smartphone, etc.) : 49% (+18 points)
  • Authentification forte par « calculette » à mot de passe non rejouable : 45% (+ 17 points)
  • Modèles d’habilitation sur base de profils / rôle métier : 43% (+ 29 points)
  • Biométrie : 9% (stable)


Sécurité liée à l’exploitation

Pour faire face à l’augmentation constante de la menace et des attaques, les collectivités ont mené une consolidation de leur sécurisation. On peut citer par exemple la systématisation des antivirus

Logiciel permettant le repérage et l'élimination d'un programme malveillant sur une machine.

 et des logiciels antispam. Les outils de pare-feu

Système de protection fournissant une connectivité contrôlée et maîtrisée entre des zones de différents niveaux de confiance. Le pare-feu assure la sécurité des informations internes à un réseau local en filtrant les entrées et en contrôlant les sorties selon des procédures automatiques préétablies.

 progressent également de manière notable. En 2020, la sécurité liée à l’exploitation était assurée via 6,5 types différents de protection.


20230606 le clusif historique mips kpis collectivites 2


Gestion des incidents et continuité de l’activité

Nous observions en 2020 une faible capitalisation sur les incidents, ce qui entraînait une très faible formalisation de la formalisation de la gestion de crise cyber. La mise en œuvre de plans de conduite ou de reprise d’activité (PCA/PRA) ne concernait encore qu’un quart des collectivités. Toujours en 2020, seules 33% des collectivités possédant un PCA déclaraient le tester par leurs utilisateurs « métiers » au moins une fois par an, un chiffre malgré tout en une augmentation de 16 points en 8 ans (2012-2020).


20230606 le clusif historique mips kpis collectivites 3


Conformité

En 2020, 57% des collectivités sont conformes au RGS, soit une hausse de 20% en 12 ans (2008-2020).

Les collectivités se trouvent de plus en plus fréquemment confrontées à des actes de cybermalveillance. La capitalisation des incidents et l’organisation de la réponse à incident étaient encore trop faibles lors de notre dernière étude et nécessitent une plus grande allocation de moyens tant humains que financiers. Mais globalement, les dynamiques sont favorables et l’analyse agrégée de nos indicateurs le montre très bien.

L’étude MIPS du Clusif permet de porter un regard précis sur l’évolution de la prise en compte du risque cyber par les collectivités territoriales. Notre volonté est également de fournir des réponses et un soutien aux professionnels de ce secteur, c’est pourquoi le Clusif anime un « Espace Coter », lieu d’échange et de retours d’expérience entre RSSI de collectivités territoriales.


Envie de lire la suite de l’article ?
Il vous reste 50% de l’article à lire
Inscrivez-vous sur GRACES.community pour profitez de toute l’actualité compliance
directement depuis votre espace Membre !
M'inscrire

Plus de 200 sociétés ont trouvé leur compliance officer avec GRACES.community,

et si c’était vous ?