Sûreté numérique : l’étude Clusif « MIPS 2020 collectivités » en 5 chiffres

7 juillet 20204 min

Après un premier volet « entreprises », le Club de sécurité de l’information français (Clusif) a rendu compte le mardi 30 juin de son étude MIPS (Menaces informatiques et pratiques de sécurité en France) 2020 partie « collectivités territoriales ».

Ceci est une légende Alt
Cette enquête se base sur l’année 2019 et a été réalisée sur un panel de 202 collectivités territoriales dont : 31 communes de plus de 100 000 habitants, 34 communautés de communes de plus de 10 000 habitants, 26 conseils territoriaux et 111 communautés d’agglomération, urbaines et métropoles.

Budget inconnu pour la majorité des collectivités locales

63

C’est en pourcentage la part des sondés pour cette étude « MIPS 2020 collectivités territoriales » du Clusif n’ayant aucune idée du budget alloué à la sûreté numérique de leur structure.

Parmi les 37 % restants, plus de la moitié (57 %) refusent de communiquer sur ce chiffre par peur qu’une interprétation négative puisse en être tirée. À leurs yeux, ce budget pourrait en effet être jugé trop faible – et donc pas en adéquation pour une politique de cybersécurité efficace – ou anormalement trop élevée… Ce qui cacherait une volonté de surinvestissement en réponse à une récente cyberattaque.

À noter par ailleurs que plus de la moitié des répondants assurent que ce budget est remis en cause d’une année sur l’autre (contre 11 % pour lesquels le budget est garanti). À titre comparatif, ces chiffres étaient équivalents pour le MIPS entreprises (56 % contre 8 %).

Reste néanmoins que 41 % des collectivités territoriales de cette étude ont vu leur budget être augmenté entre 2018 et 2019 (contre 18 % entre 2014 et 2015).

Des risques en partie répertoriés

76

C’est la part des collectivités territoriales interrogées qui ont assuré dans cette étude avoir effectué un inventaire des risques auxquels chacune d’elle est exposée.

Dans les grandes lignes, ce chiffre se veut fort logiquement rassurant. Dans le détail, seules 14 % d’entre elles ont en réalité effectué un inventaire total de ces risques. Pour 47 % cet inventaire s’est limité à « certains métiers » et pour 15 % uniquement à la DSI (direction des systèmes d’information).

Autrement dit, la part des collectivités territoriales sondées n’ayant effectué aucun inventaire des risques (24 %) est ainsi plus importante que celle ayant procédé à un inventaire complet (14 %).

Des disparités sur les correctifs de sécurité

40

Il s’agit du pourcentage des collectivités ayant formalisé des procédures de déploiement correctifs de sécurité. Un chiffre en hausse de 6 points par rapport à 2016.

De nombreuses disparités existent cependant en fonction de la taille de ces collectivités. De plus de 3 sur 5 pour les villes (69 %) ou les conseils territoriaux (65 %), ce chiffre est à peine supérieur à 1 sur 4 au sein des communautés de communes interrogées (26 %).

Une autre manière de dire que plus le budget alloué à une collectivité est important, plus cette dernière est en mesure de mettre en place ces procédures.

Restitution de l’étude MIPS 2020 du Clusif dédiée aux collectivités (VIDEO)

Un cloud démocratisé… mais sans surveillance

62

Telle est la part des collectivités territoriales interrogées annonçant avoir recours à l’utilisation du cloud (soit 3 sur 5). Ce chiffre a été multiplié par trois en l’espace de 8 ans (+ 43 points). Dans l’étude MIPS 2012, celui-ci était en effet de 19 % (1 sur 5).

Outre cette démocratisation du cloud, cette étude met également en lumière l’absence de réel contrôle sur ces usages au sein des collectivités. Dans 24 % des cas le cloud est en effet utilisé sous la surveillance de la DSI ou du RSSI (Responsable de la sécurité des systèmes d’information).

Pire encore, dans 79 % des cas aucune politique n’est mise en vigueur pour l’usage du cloud… Soit dans quasiment 4 collectivités sur 5 ayant recours au cloud.

Des statistiques qui font conclure aux concepteurs de cette étude que « la progression d’usage du cloud est plus rapide que son encadrement » au sein des collectivités territoriales.

Le RGPD respecté dans la quasi totalité des collectivités

93

Comme la part des collectivités sondées estimant être en conformité avec le Règlement général sur la protection des données (RGPD), entré en vigueur en 2018.

3 collectivités sur 4 (75 %) ont d’ailleurs désigné un DPO, « Data protection officier » ou personne en charge de la protection des données.

Outre ces 75 %, un processus de désignation était également en cours pour 10 % des collectivités sondées.

Eitel Mabouong – Journaliste

---

Les plus lus…

Inscrivez-vous
à notre
newsletter

Recevez toutes les actualités et informations sûreté, incendie et sécurité toutes les semaines.