FNCCR

Numérique

Guide de l'élu.e local.e et intercommunal.e

Leviers d'action

Notre principale préconisation est la mutualisation pour réduire les coûts. A cet effet, nous réfléchissons d’ailleurs à l’intérêt d’un texte législatif sur la création d’une compétence de gestion souveraine des données au sein de toutes les collectivités territoriales et de leurs groupements. Cette compétence concernerait l’ensemble des données, qu’elles soient publiques ou privées, jouant un rôle dans les politiques publiques, telles que celles relatives aux délégations de services publics (DSP). L’objectif est notamment de créer le cadre juridique adéquat permettant aux collectivités de mutualiser ressources et solutions dans un cadre sécurisé.

Dans le champ de la mutualisation, l’autre problématique est le cloud où le mode SaaS est considéré comme du fonctionnement dans les budgets de l’État et des collectivités. Il serait plus pertinent de le considérer comme de la mutualisation d’investissements. Une démarche vis-à-vis de Bercy est à entreprendre par notre équipe.

 Nos recommandations « cybersécurité »

La FNCCR propose l’insertion, dans les contrats publics, d’une méta-clause, permettant d’engager le titulaire du marché à se conformer aux obligations légales auxquelles sont soumises les collectivités en matière de cybersécurité.

En outre, la FNCCR propose d’aménager un moyen de contrôle, par la collectivité, du niveau de sécurité auquel s’est engagé le titulaire, et ce en exigeant la fourniture d’un cahier des normes techniques de cybersécurité par ledit titulaire.

Ces deux recommandations ne sont toujours pas présentes dans le texte de transposition NIS2.

Nous proposons aussi d’inclure la cybersécurité dans les Plans communaux de sauvegarde (PCS) et d’aborder dans le cadre de la stratégie nationale la mise en œuvre de services de pompiers cyber territoriaux mutualisés.

Enfin nous proposons d’approfondir l’opportunité de la mise en œuvre d’un CERT « industrie des services publics », d’envergure nationale, spécifiquement orienté vers les villes et territoires intelligents (usines d’eau potable, assainissement, transport, bornes de recharge, gestion des bâtiments, etc) gérés par les EPCI et les syndicats techniques. Un tel CERT doit s’inscrire en complémentarité et cohérence avec le périmètre de responsabilités des CSIRT régionaux, que l’ANSSI et les régions ont lancé.

Un positionnement de la FNCCR sur la cybersécurité des systèmes industriels publics doit s’inscrire dans une logique de centre de ressources pour les collectivités.

  • Mise en œuvre d’un groupe de travail national sur les systèmes industriels publics ;

  • Partage de bonnes pratiques et retours d’expérience ;

  • Suivi particulier des systèmes d’information dédiés aux réseaux publics en commun ;

  • Formation continue, sensibilisation amont, volet préventif ;

  • Mise en œuvre et simulations de plans de reprise d’activité ;

  • Simulations d’exercices d'attaques cyber, par exemple sur un rythme annuel ;

  • Participation aux cellules de crise, traitement de l’urgence, à la coordination de gestion de crise ;

  • Réaction à la suite d'attaques, définition de mesures correctives ;

  • Prise de hauteur pour définir et faire évoluer les outils et processus, dans une approche d'amélioration continue et de résilience accrue des territoires.