mips 2008 2020

Collectivités territoriales : évolution des pratiques cyber depuis 2008

19 juin 2023

L’étude « Menaces informatiques et pratiques de sécurité en France » (MIPS) est conduite par le Clusif depuis 2008. Sa représentativité, sa régularité, la rigueur de sa méthode et les experts qui se consacrent à l’analyse de ses données offrent une vision précise des tendances et des mutations de la sécurité de l’information.

Nous proposons aujourd’hui un zoom sur le volet « Collectivités territoriales » de cette étude, avec un point sur l’évolution depuis 2008 de leurs pratiques en matière de cybersécurité.

Organisation de la sécurité de l’information

En 2020, 52% des collectivités ont clairement identifié et attribué la fonction de RSSI soit une hausse de 30 points en 12 ans (2008-2020). Leur temps se répartit en plusieurs aspects : techniques, opérationnels, fonctionnels, communicationnels dont la sensibilisation et juridiques.

20230606 le clusif historique mips kpis collectivites 05.06.23

En 2020, les principaux freins identifiés par nos répondants à la conduite des missions de sécurité de l’information étaient :

  • Le manque de personnel qualifié (39%)
  • Les contraintes organisationnelles (32%)
  • Le manque de connaissances (30%)
  • Le manque de budget (28%)
  • La réticence des métiers ou des utilisateurs (25%)
  • La réticence de la direction générale des services ou des élus (12%)
  • La réticence de la DSI (2%)
  • Autres (10%)

Nous relevons une tendance à citer de plus en plus de freins, avec en particulier une augmentation des réticences de la DGS ou des élus, des contraintes organisationnelles voire, dans une moindre mesure, du manque de personnel qualifié.

Contrôle d’accès

En 2020, 3,2 types différents de contrôle d’accès sont utilisés en moyenne par les collectivités, soit une augmentation de 1,4 en 12 ans.

Elles se répartissent de la manière suivante :

  • Authentification forte par certificat électronique sur support matériel (carte à puce ou clé à puce) : 52% (+10 points)
  • Authentification par certificat électronique logiciel (token, OTP sur clé ou smartphone, etc.) : 49% (+18 points)
  • Authentification forte par « calculette » à mot de passe non rejouable : 45% (+ 17 points)
  • Modèles d’habilitation sur base de profils / rôle métier : 43% (+ 29 points)
  • Biométrie : 9% (stable)

Sécurité liée à l’exploitation

Pour faire face à l’augmentation constante de la menace et des attaques, les collectivités ont mené une consolidation de leur sécurisation. On peut citer par exemple la systématisation des antivirus et des logiciels antispam. Les outils de pare-feu progressent également de manière notable. En 2020, la sécurité liée à l’exploitation était assurée via 6,5 types différents de protection.

20230606 le clusif historique mips kpis collectivites 2

Gestion des incidents et continuité de l’activité

Nous observions en 2020 une faible capitalisation sur les incidents, ce qui entraînait une très faible formalisation de la formalisation de la gestion de crise cyber. La mise en œuvre de plans de conduite ou de reprise d’activité (PCA/PRA) ne concernait encore qu’un quart des collectivités. Toujours en 2020, seules 33% des collectivités possédant un PCA déclaraient le tester par leurs utilisateurs « métiers » au moins une fois par an, un chiffre malgré tout en une augmentation de 16 points en 8 ans (2012-2020).

20230606 le clusif historique mips kpis collectivites 3

Conformité

En 2020, 57% des collectivités sont conformes au RGS, soit une hausse de 20% en 12 ans (2008-2020).

Les collectivités se trouvent de plus en plus fréquemment confrontées à des actes de cybermalveillance. La capitalisation des incidents et l’organisation de la réponse à incident étaient encore trop faibles lors de notre dernière étude et nécessitent une plus grande allocation de moyens tant humains que financiers. Mais globalement, les dynamiques sont favorables et l’analyse agrégée de nos indicateurs le montre très bien.

L’étude MIPS du Clusif permet de porter un regard précis sur l’évolution de la prise en compte du risque cyber par les collectivités territoriales. Notre volonté est également de fournir des réponses et un soutien aux professionnels de ce secteur, c’est pourquoi le Clusif anime un « Espace Coter », lieu d’échange et de retours d’expérience entre RSSI de collectivités territoriales.

À lire aussi

Centre Africain de la cybersécurité

Echanges avec Dr Youssef Mazouz, secrétaire général du Centre Africain de la Cybersécurité

Vous êtes secrétaire général du Centre Africain de la Cybersécurité, une association de cybersécurité implantée au Maroc et dont les adhérents sont répartis dans plusieurs pays. Quelle était la démarche à l’origine de sa création ? J’ai été RSSI d’un ministère au Maroc et j’ai été amené à rencontrer d’autres RSSI dans le cadre d’événements, de forums. Nous partagions le même […]

4 mars 2024
pexels fauxels 3184418 photo de fauxels provenant de pexels

Zoom sur l’espace RSSI du Clusif

Depuis plus de 20 ans, l’espace RSSI du Clusif réunit les responsables de la sécurité des systèmes d’information. Il compte aujourd’hui plus de 300 membres, issus de divers horizons et secteurs d’activité. Cet espace d’échange, animé par Henri CODRON et coanimé par Antoine BAJOLET, se réunit habituellement le premier vendredi de chaque mois. L’espace RSSI est ouvert aux professionnels en […]

20 décembre 2023
MIPS Santé

Cybersécurité des établissements de santé : notre point sur 12 ans d’indicateurs

L’étude « Menaces informatiques et pratiques de sécurité en France » (MIPS), menée par le Clusif, se distingue par sa représentativité, la rigueur de sa méthodologie et l’expertise des analystes dédiés à l’analyse de ses données. Elle offre une vision précise des évolutions et des changements observés dans le domaine de la sécurité de l’information. Aujourd’hui, nous souhaitons mettre en lumière la […]

27 septembre 2023