Cybersécurité dans les collectivités : pourquoi l’accompagnement d’un DPO externe est devenu incontournable

Les collectivités locales sont de plus en plus la cible de cyberattaques, un phénomène en forte augmentation ces dernières années. Gérant des données sensibles et souvent contraintes par des moyens financiers et humains limités, elles sont aujourd’hui confrontées à des enjeux de cybersécurité essentiels pour assurer la confidentialité et la sécurité des données de leurs citoyens. Cependant, les normes de conformité, telles que le RGPD, imposent des obligations strictes. Ces structures se retrouvent souvent mal préparées. Face à ces défis, l’accompagnement d’un DPO externe (Délégué à la Protection des Données) représente une solution stratégique combinant sécurité et conformité.

Cybersécurité et Collectivités : un enjeu organisationnel pour protéger les données

Les cyberattaques ne sont plus uniquement l’affaire des grandes entreprises. Aujourd’hui, les collectivités locales, grandes ou petites, en font aussi les frais. Les données qu’elles détiennent (informations personnelles, dossiers médicaux, informations financières) sont de véritables trésors pour les cybercriminels. Cependant, les collectivités peinent à renforcer leurs mesures de cybersécurité et à mettre en place des protocoles efficaces. Ceci est dû en partie au manque de moyens, mais aussi par méconnaissance des obligations légales et des pratiques à adopter.

Statistiques alarmantes : En 2022, 50 % des collectivités locales ont subi des cyberattaques. Ces incidents, souvent ciblés en raison de la vulnérabilité perçue de ces structures, entraînent des coûts importants : perte de données, indisponibilité des systèmes, et amendes pour non-conformité avec les réglementations. Face à ces enjeux, un accompagnement spécialisé en cybersécurité et en protection des données devient essentiel.

Les risques d’une gestion non spécialisée de la cybersécurité et de la conformité

La mise en conformité avec des réglementations telles que le RGPD impose des procédures exigeantes. Celles-ci sont souvent complexes, et la plupart des collectivités n’ont pas les moyens internes pour y répondre efficacement. Une gestion de la cybersécurité sans expertise dédiée peut entraîner des failles graves, tant pour la sécurité des données que pour la conformité avec les obligations réglementaires.

• Les conséquences d’un manque de conformité : Un non-respect des obligations peut entraîner des sanctions financières, sans compter le préjudice en termes de confiance avec les citoyens et partenaires.
• Complexité de la réglementation : Le RGPD et les référentiels (tels que M14, M57) évoluent régulièrement. Cette complexité nécessite une veille active et une expertise pointue pour assurer une conformité durable.

En confiant cette mission à un expert tel qu’un DPO externe, les collectivités peuvent donc non seulement réduire les risques de cyberattaques, mais aussi renforcer la confiance de leurs administrés en leur capacité à gérer leurs données de manière sécurisée.

Pourquoi opter pour un DPO externe spécialisé ?

Un DPO externe n’est pas simplement un technicien en cybersécurité. Il offre un accompagnement complet, qui permet aux collectivités de déléguer cette responsabilité à un professionnel dédié, sans la lourdeur de la gestion en interne.

• Gain de temps et d’efficacité : Un DPO externe libère les équipes en interne et réduit leur charge de travail liée à la cybersécurité et à la conformité. Elles peuvent ainsi se concentrer sur leurs missions de service public, tandis que le DPO externe gère la protection et la sécurisation des données.
• Neutralité et expertise : L’intervention d’un DPO permet un regard objectif sur l’organisation et une prise en charge complète des besoins en cybersécurité. En restant à la pointe des évolutions, il est en mesure de fournir des solutions adaptées et évolutives.
• Souplesse budgétaire : Faire appel à un DPO spécialisé offre la flexibilité de bénéficier de services experts, sans engager une nouvelle charge salariale, et en ajustant les services au besoin et au budget.

A chaque collectivité son DPO

Quand on est DPO, on entend souvent de nombreuses objections à la réalisation du RGPD. Pourtant chaque argument ne tient plus quand on réfléchit. Il suffit de prendre en compte les conséquences négatives que peuvent avoir le manque ou la faiblesse de protection des données.

Ce n’est pas le contrôle de la CNIL qu’il faut craindre, c’est une cyberattaque qui paralyserait complètement votre collectivité !

La commune n’a pas le budget pour un DPO externe

Soit, la commune n’a pas le budget pour intégrer les services d’un DPO externe. Donc ces prestations sont vues comme un coût. Or ce n’est pas du tout le cas, c’est un investissement. Savez-vous combien couterait une cyberattaque à la commune ? Combien avez-vous budgétisé en prévention d’une cyberattaque ?

Stratégiquement, c’est une façon de penser qui est dangereuse. Surtout quand on se trouve dans une structure traitant les données qui peuvent être plus ou moins sensible (ou qui concerneraient des personnes en difficulté). Être pro-actif, c’est d’abord protéger les citoyens. C’est précisément là que ce situe l’investissement. La collectivité a la responsabilité des données qui lui sont confiées. De plus, la loi exige qu’un niveau de protection adapté soit appliqué à ces données.

Il est rappelé par la CNIL, que les collectivités sont soumises au droit européen au même titre que toutes les entreprises. Et ce, dès qu’elles récoltent des données personnelles. Se préparer, bénéficier du bon niveau de cybersécurité, remplir et tenir à jour un RGPD, disposer de plans pour poursuivre l’accueil des citoyens dans les meilleures conditions possibles, et surtout avoir une stratégie montée par un DPO externe, sont autant de conditions pour bien gérer une attaque.

La commune peut le gérer en interne

Certes, rien ne vous empêche de gérer le RGPD en interne. Mais il y a quelques conditions : aucun élus impliqué dans le processus décisionnel ne peut remplir ces missions. Bien évidemment, car cela entre dans le cadre d’un conflit d’intérêts. Les missions du DPO doivent donc être obligatoirement confiées à un agent territorial, une secrétaire ou toute autre personne extérieure aux décisions.

Généralement, c’est un prestataire externe chargé de la mise en conformité pour des raisons de commodité. En effet, les agents territoriaux sont déjà en surcharge de travail dans bien des communes. Alors leur demander de :

• suivre une formation,
• prendre en charge l’audit de chaque service,
• réaliser le RGPD et l’AIPD (sans oublier les justifications),
• vérifier les niveaux de cybersécurité,
• vérifier la qualité des données,
• travailler avec le service informatique,
• faire la correspondance avec la CNIL et les sous-traitants,
• sensibiliser les élus
• faire des ateliers de cybersécurité,
• poursuivre le travail de formation et de nouveautés cyber,
• mettre à jour le RGPD avec les nouveaux projets…

La liste est non exhaustive. N’oublions pas que le DPO doit suivre tous les projets en construction qui seraient en lien avec la collecte de données. Bien entendu, son rôle n’est pas de bloquer les processus créatifs et d’amélioration. Il apporte des solutions techniques lorsqu’il formule des objections ou des remarques.

C’est une charge de travail importante qui s’ajoute à la liste des tâches déjà à réaliser au quotidien…

Les communes sont pas intéressantes à attaquer

Les cybercriminels ont des raisons qui leur sont propres de bloquer une activité, qu’elle soit commerciale ou citoyenne. Toutes les semaines, il suffit de regarder la liste publiée sur le site CERT-FR qui recense les alertes de sécurité. Une liste des cyberattaques existe également sur le site cybermalveillance.fr et on y trouve des communes !

Les cyberattaques le plus fréquentes recensées au cours de l’année 2023 sont :

• les faux ordres de virement : +63%
• les défigurations de site internet : + 61%
• le déni de service : +41%

Pour note, le déni de service consiste à paralyser le serveur du site et tous les services en exploitant une faille de sécurité ou bien en surchargeant le fonctionnement des services de la commune.

Les faux ordres de virement permettent aux pirates informatiques de gagner rapidement de l’argent, sans avoir à forcer l’entrée ni à braquer une banque !

Alors, vous pensez toujours que les communes sont pas une cible intéressante ?

Conclusion : Un partenariat pour sécuriser l’avenir

La cybersécurité et la conformité en matière de protection des données sont devenues des priorités pour les collectivités locales. En confiant ces responsabilités à un DPO externe, elles s’assurent non seulement une conformité pérenne, mais aussi une gestion optimisée et adaptée à leurs moyens. Les citoyens, eux aussi, ont besoin de savoir que leurs données sont en sécurité et gérées avec rigueur.

Un DPO externe est bien plus qu’un simple conseiller. Il devient un véritable partenaire de confiance pour accompagner les collectivités. Il participe activement aux défis de la cybersécurité pour garantir la tranquillité d’esprit. Pour les collectivités, c’est un choix stratégique. Et il démontre leur engagement pour la sécurité de leurs données et le respect de la vie privée de leurs administrés.