Sûreté numérique : l’étude Clusif « MIPS 2020 collectivités » en 5 chiffres

C’est en pourcentage la part des sondés pour cette étude « MIPS 2020 collectivités territoriales » du Clusif n’ayant aucune idée du budget alloué à la sûreté numérique de leur structure.

Parmi les 37 % restants, plus de la moitié (57 %) refusent de communiquer sur ce chiffre par peur qu’une interprétation négative puisse en être tirée. À leurs yeux, ce budget pourrait en effet être jugé trop faible – et donc pas en adéquation pour une politique de cybersécurité efficace – ou anormalement trop élevée… Ce qui cacherait une volonté de surinvestissement en réponse à une récente cyberattaque.

À noter par ailleurs que plus de la moitié des répondants assurent que ce budget est remis en cause d’une année sur l’autre (contre 11 % pour lesquels le budget est garanti). À titre comparatif, ces chiffres étaient équivalents pour le MIPS entreprises (56 % contre 8 %).

Reste néanmoins que 41 % des collectivités territoriales de cette étude ont vu leur budget être augmenté entre 2018 et 2019 (contre 18 % entre 2014 et 2015).

C’est la part des collectivités territoriales interrogées qui ont assuré dans cette étude avoir effectué un inventaire des risques auxquels chacune d’elle est exposée.

Dans les grandes lignes, ce chiffre se veut fort logiquement rassurant. Dans le détail, seules 14 % d’entre elles ont en réalité effectué un inventaire total de ces risques. Pour 47 % cet inventaire s’est limité à « certains métiers » et pour 15 % uniquement à la DSI (direction des systèmes d’information).

Autrement dit, la part des collectivités territoriales sondées n’ayant effectué aucun inventaire des risques (24 %) est ainsi plus importante que celle ayant procédé à un inventaire complet (14 %).

Il s’agit du pourcentage des collectivités ayant formalisé des procédures de déploiement correctifs de sécurité. Un chiffre en hausse de 6 points par rapport à 2016.

De nombreuses disparités existent cependant en fonction de la taille de ces collectivités. De plus de 3 sur 5 pour les villes (69 %) ou les conseils territoriaux (65 %), ce chiffre est à peine supérieur à 1 sur 4 au sein des communautés de communes interrogées (26 %).

Une autre manière de dire que plus le budget alloué à une collectivité est important, plus cette dernière est en mesure de mettre en place ces procédures.

Telle est la part des collectivités territoriales interrogées annonçant avoir recours à l’utilisation du cloud (soit 3 sur 5). Ce chiffre a été multiplié par trois en l’espace de 8 ans (+ 43 points). Dans l’étude MIPS 2012, celui-ci était en effet de 19 % (1 sur 5).

Outre cette démocratisation du cloud, cette étude met également en lumière l’absence de réel contrôle sur ces usages au sein des collectivités. Dans 24 % des cas le cloud est en effet utilisé sous la surveillance de la DSI ou du RSSI (Responsable de la sécurité des systèmes d’information).

Pire encore, dans 79 % des cas aucune politique n’est mise en vigueur pour l’usage du cloud… Soit dans quasiment 4 collectivités sur 5 ayant recours au cloud.

Des statistiques qui font conclure aux concepteurs de cette étude que « la progression d’usage du cloud est plus rapide que son encadrement » au sein des collectivités territoriales.

Comme la part des collectivités sondées estimant être en conformité avec le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018.

3 collectivités sur 4 (75 %) ont d’ailleurs désigné un DPO, « Data protection officier » ou personne en charge de la protection des données.

Outre ces 75 %, un processus de désignation était également en cours pour 10 % des collectivités sondées.