La cybersécurité protège la confidentialité et la sécurité des données contre les cybermenaces et est essentielle pour garantir la confiance du public dans l'administration numérique. À partir de 2021, l'indice de maturité numérique (IMD) inclut la cybersécurité dans l'évaluation du niveau de transformation numérique des administrations locales, grâce à la collaboration de l'Agence catalane de cybersécurité.
Pourquoi évaluons-nous la cybersécurité ?
La cybersécurité vise à protéger les systèmes informatiques, les réseaux et les données contre les cybermenaces telles que les virus, les logiciels malveillants ou les attaques par déni de service. À mesure que les conseils progressent dans leur processus de numérisation, leur exposition à ces menaces augmente également. Selon l'Agence catalane pour la cybersécurité (ACC), les cyberattaques publiées qui ont affecté le secteur public catalan ont augmenté de plus de 60 % entre 2020 et 2021.
Une cyberattaque peut avoir de graves conséquences, tant pour le conseil municipal lui-même que pour les citoyens, comme le vol et publication de données sensibles, la suspension des services municipaux et de l'activité normale de la mairie o subissent des pertes économiques importantes. De plus, si les citoyens perçoivent que leurs données ne sont pas protégées, ils peuvent perdre confiance dans l'institution.
D'autre part, une grande partie des données gérées par un conseil municipal sont des données personnelles des citoyens et sont soumises à des réglementations sur la protection des données. La cybersécurité peut être considérée comme une mesure préventive pour éviter la perte, l'altération ou la divulgation de données personnelles
Alors, jela maturité numérique d'une commune dépend non seulement de sa capacité à offrir des services numériques, mais aussi de sa capacité à garantir la sécurité et la confidentialité des données contre les attaques malveillantes.
Vulnérabilité cybersécurité des collectivités territoriales
L'IMD évalue la vulnérabilité aux cyberattaques à l'aide de l'indicateur de vulnérabilité de la cybersécurité, qui est obtenu à partir du niveau d'exposition aux vulnérabilités calculé par l'Agencia de Cyberseguretat de Catalunya au sein du modèle de cybersécurité qu'il a déployé pour les collectivités locales.
Le niveau d'exposition aux vulnérabilités est obtenu en scannant périodiquement les services accessibles par Internet des entités locales. L'analyse consiste en une série de tests automatisés de détection de vulnérabilités basés sur des versions ou des tests actifs (non-intrusions, vérifications) sur l'ensemble des services. Selon les vulnérabilités détectées, la valeur du niveau d'exposition varie entre 0 point, lorsque la gravité est nulle, et 10 points, lorsque la gravité est critique.
l'indicateur vulnérabilité de la cybersécurité de l'IMD est obtenu en normalisant la valeur du niveau d'exposition aux vulnérabilités et en attribuant plus de points lorsque le degré de gravité détecté est plus faible. En 2022, 74 % des collectivités locales avaient une vulnérabilité cybersécurité faible ou moyenne.
Conformité au programme de sécurité nationale
Le Schéma National de Sécurité (ENS) est un ensemble de mesures et de procédures qui doivent être adoptées par les administrations publiques pour garantir la sécurité des services électroniques et des informations qu'elles gèrent. L'un des objectifs de la dernière révision, publiée le 22 mai 2022, est précisément mettre à jour les principes de base, les exigences minimales et les mesures de sécurité de l'ENS pour renforcer la cybersécurité du secteur public.
Pour cette raison, l'IMD inclut la conformité à l'ENS comme l'un des indicateurs dans le domaine de la cybersécurité. L'indicateur évalue si la mairie a publié une attestation de conformité de l'ENS sur son site internet ou si le fournisseur du système d'administration électronique utilisé par la mairie apparaît dans liste des entités certifiées du National Cryptologic Center.
L'année 2022 79% des collectivités locales utilisent des plateformes d'administration électronique disposant d'une attestation de conformité ENS.
Nomination d'un délégué à la protection des données
Le règlement général sur la protection des données (RGPD) et la loi organique sur la protection des données personnelles (LOPDGDD) établissent les obligations légales que les organisations doivent remplir pour protéger les données personnelles. Dans le contexte actuel, la cybersécurité devient un élément fondamental de la gestion de la protection des données personnelles et, par conséquent, du respect des réglementations en matière de protection des données personnelles.
Le délégué à la protection des données (DPD) est le garant du respect des règles de protection des données dans une organisation. Tous les organismes locaux sont tenus de désigner un DPD et de communiquer leur désignation à l'APDCAT, conformément aux dispositions du RGPD et de la LOPDGDD.
L'IMD évalue si les entités locales ont désigné un DPD consultation des délégués à la protection des données communiquées à l'APDCAT. En l'an 2022, 72% des entités locales ont communiqué la DPD à l'Autorité catalane de protection des données.
Vous pouvez consulter tous les indicateurs de maturité digitale dans le rapport Vue détaillée du corps duIndice de maturité numérique 2022.
