Le CERT-fr a publié fin février 2025 un état de la menace cyber sur les collectivités en 2024 qui confirme la tendance d’accroissement de la menace observée ces dernières années.

Quelques chiffres :
🔸 218 incidents de cybersécurité ont frappé les collectivités territoriales en 2024, soit 14 % des attaques traitées par  l’ANSSI
🔸 33 incidents affectant des collectivités territoriales ont eu une criticité élevée, soit 15% du nombre total d’incidents touchant les collectivités ;
🔸 44 incidents ont touché des conseils départementaux et 29 des conseils régionaux : des chiffres élevés en comparaison du nombre de départements (101) et de régions (18) sur le territoire français, qui pourraient indiquer un ciblage plus important de ces structures et/ou un signalement d’incidents auprès de l’ANSSI effectué de façon plus systématique par ce type de collectivités territoriales.

Principaux types d’attaques :
🔹 compromissions de comptes de messagerie (66, soit 30% des événements signalés par les collectivités),
🔹 attaques en déni de service distribué (DDoS) (58), notamment à des fins d’hacktivisme en lien avec des événements géopolitiques,
🔹 rançongiciels (25 incidents), soit 11% des signalements remontés par les collectivités.

Des enjeux majeurs pouvant aller jusqu’à la perturbation, voire l’interruption, des missions et des services gérés par les collectivités – état civil, urbanisme, aides sociales, gestion des services tels que la gestion des déchets, de l’eau…

Pour les collectivités, comme pour les entreprises, la cybersécurité n’est plus une option : c’est désormais une priorité !

C’est dans ce cadre que le Département de la Sarthe présentera en ouverture de cette Matinale les actions qu’il a mises en place pour faire face à ces enjeux, être plus robuste et plus résilient.

Un des leviers pour contraindre les acteurs à monter en maturité pour faire face à une menace cyber grandissante : la réglementation.

Les  collectivités et les établissements publics sont ainsi soumises à un certain nombre de réglementations en matière de sécurité et confiance numériques : RGS, eIDAS, RGPD, loi sur les données de santé… Un cadre réglementaire souvent mal appréhendé, notamment pour les plus petites collectivités, qui nécessite en outre pour leur application des moyens humains, techniques et financiers dont elles ne disposent pas toujours.

Nouvelle étape pour ce cadre réglementaire : la directive NIS 2.

Une directive européenne qui vise à renforcer les obligations en matière de cybersécurité d’un plus grand nombre d’acteurs afin d’assurer un niveau élevé commun en la matière dans l’ensemble de l’Union.

La transposition dans le droit français de cette directive – aux côtés de deux autres directives, REC et DORA – fait l’objet d’un projet de loi « Résilience des infrastructures critiques et renforcement de la cybersécurité » qui est actuellement à l’étude au sein du Parlement. Au Sénat, une commission spéciale présidée par le sénateur Olivier CADIC, a été spécifiquement créée pour son étude. A l’issue de deux sessions de débats passionnants en séance publique, le Sénat a adopté, après plusieurs amendements, un texte qui désormais va être à l’étude et au vote de l’Assemblée Nationale.

Une partie des collectivités est concernée par ce texte.

A la lumière de cette actualité législative, la Matinale du 29 avril à Angers sera l’occasion :

Dernière partie de la matinée : l’enjeu de la sécurité des data centers.

Les data centers sont des infrastructures critiques hébergeant et traitant des volumes massifs de données. Leur sécurisation est désormais un impératif face au développement des cyberattaques, mais aussi aux pannes et aux risques physiques (incendies, catastrophes naturelles). Associés à l’enjeu de la souveraineté des données, ils représentent aujourd’hui un enjeu majeur pour les entreprises, collectivités et citoyens. Ils font aujourd’hui l’objet de réglementation accrue qui vise à renforcer leur sécurité, et sont également confrontés à de nouveaux impératifs à l’ère du numérique responsable.

Ce sujet d’intérêt national et local sera au coeur de la dernière partie de la matinée, avec deux présentations croisées :

Une Matinée au service des acteurs publics du territoire
pour s’informer sur la cybersécurité
et renforcer leur maturité pour faire face au risque numérique.

par Martine CRNKOVIC, Vice-présidente du Département de la Sarthe, Vice-présidence de Sarthe Numérique,  Bénédicte PILLIET, Présidente du CyberCercle, et Jean-Pierre SABIO, Directeur général de Gigalis

par Philippe LATOMBE, Député de la Vendée

Placé sous les règles de Chatham House, les ateliers des Matinales Cyber Pays de la Loire ont pour objectif de permettre aux participants d’avoir accès à des informations de confiance et d’échanger entre pairs et avec des experts sur leurs problématiques.

Animé par Stéphane MEYNET, Senior advisor du CyberCercle, l’atelier du 21 janvier 2025 sera ouvert par la présentation conjointe de Martine CRNKOVIC, et de Nicolas HECQ, DGS de Sarthe Numérique, sur le data center mis en place au Mans.

Il sera suivi par la présentation de Jean-Pierre SABIO et Filipe BICA, responsable du centre de ressources de Gigalis, du data center qui sera inauguré à la rentrée en Vendée.