La mise en œuvre d’une véritable cybersécurité au sein d’une collectivité locale nécessite des moyens financiers et humains. Le nouveau cadre assurantiel concernant le numérique est également coûteux. Cependant, il est indispensable que les collectivités s’appuient sur la mutualisation territoriale pour amoindrir ces coûts. Les prestations de services numériques doivent être opérées par des sociétés de confiance labélisées par l’ANSSI. Enfin, il est indispensable de réaliser de façon cyclique des audits de sécurité sur les SI publics.

Notre proximité avec nos adhérents nous a permis de mettre en lumière les principaux freins à la sécurisation de leurs systèmes d'information.

●   Le premier frein est d’ordre financier.

○        La grande majorité des acteurs publics territoriaux n’ont pas pu identifier précisément le budget dédié à la cybersécurité au sein de leurs collectivités (celui-ci est en effet souvent associé au budget informatique général).

○        Il est par ailleurs difficile d’allouer un budget cybersécurité précis, du fait de la multiplication et la complexification des usages numériques : logiciels métiers avec leur sécurité intégrée, applications gérées par les prestataires, outils développés en interne, etc. 

○        Cette hétérogénéité des systèmes brouille l’identification du risque, et limite la possibilité de supervision par un responsable unique.

○        Aussi, l’analyse coût/avantage qui est faite au sein des collectivités ne permet pas toujours d’arbitrer en faveur de la sécurisation : la cybersécurité est souvent considérée comme un coût ponctuel à la suite d’incident, et non comme un poste d’investissement dès le départ d’un projet.

○        Les petites collectivités semblent d’autant plus contraintes dans leur budget concernant la sécurisation : elles ont difficilement les moyens financiers de faire appel à un prestataire externe ou pour employer un référent cyber au sein de la structure.

●   Le second frein identifié est juridique.

○        La plupart des collectivités, quelle que soit leur taille (petites, grandes, régies, syndicats, etc.), admettent une faible connaissance des enjeux juridiques de la cybersécurité.

○        Seulement 12 % des structures ont connaissance de mécanismes juridiques concrets pour répondre aux enjeux de cybersécurité.

○        Très peu de collectivités mettent en place des clauses juridiques spécifiques dans leurs marchés, notamment vis-à-vis de leurs sous-traitants ou de leurs prestataires.

○        En parallèle de ce manque de connaissance et d’expertise en interne, certaines collectivités déplorent le manque de réglementation et d’intervention de la part de l’État envers ces acteurs privés, parfois très puissants.

Pourtant l’enjeu principal, c'est la confiance dans la souveraineté.

L’enjeu de confiance est fondamental dans notre analyse. Sans confiance, il n’y a pas de service public. Il suffit pour s’en convaincre de se reporter à l’ensemble des rapports publiés ces dernières années dans le domaine de la smart city notamment.

Mais la cybersécurité ne doit pas freiner la mise en place des projets de territoire. Au contraire, elle doit accroître la confiance pas seulement du citoyen mais de l’ensemble des acteurs et partenaires pour permettre une démultiplication des projets à l’avenir.

Une tentative de définition d’une souveraineté numérique territoriale.

C’est la capacité d’un État, d’une collectivité ou d’une organisation à contrôler, à protéger et à développer ses infrastructures, ses données et ses usages numériques sans dépendre excessivement d’acteurs extérieurs (souvent de grandes entreprises étrangères).

Elle implique la maîtrise des données (où elles sont stockées, qui peut y accéder), des infrastructures (réseaux, centres de données, cloud), des technologies (logiciels, intelligence artificielle, cybersécurité) et des règles juridiques qui encadrent ces usages.