Table of Contents
Quel est le coût d’une politique de sécurité pour le marché public ? Un investissement lourd est-il vraiment rentable par rapport aux cyber menaces ? Découvrez pourquoi investir en cybersécurité est nécessaire pour les organismes publics.
Les cyberattaques constituent aujourd’hui une menace préoccupante pour tous les secteurs d’activité, et le secteur public ne fait pas exception. Administrations centrales, opérateurs d’État, collectivités territoriales, hôpitaux et organismes de santé font aujourd’hui partie des cibles privilégiées des cybercriminels. Ces attaques peuvent paralyser le fonctionnement des services publics et représenter une menace sérieuse pour la protection des données personnelles dont ils ont la responsabilité.
Pourtant, malgré une prise de conscience croissante des risques, les investissements en cybersécurité dans le secteur public semblent rester insuffisants. En 2022, 6,6 % du budget du secteur public était consacré à la cybersécurité, mais le niveau de maturité en matière de sécurité informatique était estimé à seulement 36,9 % (source : Wavestone, mars 2022). Voyons dans le détail où se situe le problème.
Les impacts des cyberattaques dans le secteur public
La transformation numérique a touché toutes les structures publiques, des hôpitaux aux écoles en passant par les mairies et les ministères. Si la numérisation des services ou le déploiement de solutions connectées étaient indispensables, cette transformation en profondeur n’a pas toujours été accompagnée d’une sécurisation adéquate. Au contraire, elle a créé des opportunités pour les cybercriminels.
Dans son rapport “Panorama de la cybermenace en 2022“, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) constate une augmentation significative des cybermenaces, en particulier les attaques par rançongiciels. Le podium des principales victimes se partage entre :
- Les TPE, PME et ETI (40%) ;
- Les collectivités territoriales (23%) ;
- Les établissements publics de santé (10%).
Ce constat met en évidence la vulnérabilité continue des systèmes d’information des services publics face à des cyber menaces de plus en plus sophistiquées. Il en revient que, malgré cette menace croissante, les besoins en cybersécurité ne sont pas toujours clairement définis au sein des institutions publiques alors que les menaces sont pourtant bien connues. En effet, les CERT européens, notamment l’ANSSI, partagent régulièrement des documents pour sensibiliser les acteurs publics aux risques cyber. Dernièrement, le CERT-FR a ainsi publié une synthèse de la menace ciblant les collectivités territoriales.
Les coûts mal estimés d’une cyberattaque
Les cyberattaques dans le secteur public entraînent des coûts substantiels, mais leur estimation demeure complexe en raison de la diversité et de la multiplication des attaques. La ville de Lille par exemple, attaquée en mars 2023, est parvenue à estimer le coût de l’incident seulement 6 mois plus tard – environ 1,7 millions d’ euros.
Selon une étude du cabinet Asterès parue en juin 2023, les 385 000 cyberattaques réussies contre des organisations françaises en 2022 ont généré un coût total de 2 milliards d’euros. Parmi ces dépenses :
- 887 millions d’euros sont imputables aux coûts directs engagés pour remédier aux attaques ;
- 888 millions d’euros correspondent aux rançons versées aux cybercriminels ;
- 252 millions pour les pertes de production, en plus de 7 millions d’euros liés aux heures de travail perdues.
Le secteur privé assume une grande partie du fardeau financier des cyberattaques en France, représentant trois-quarts du coût total, tandis que le secteur public en supporte un quart.
Des préjudices étendus
Les attaques peuvent entraîner une interruption des services et affecter le fonctionnement de l’organisme touché. La perte de données sensibles, au-delà d’engendrer des dépenses considérables, porte aussi préjudice à l’ensemble des usagers.
La réputation des entités publiques est ainsi mise en péril. Les attaques exposent les failles de sécurité et peuvent éroder la confiance du public dans la capacité des gouvernements locaux à protéger leurs données et leurs intérêts. Enfin, les frais légaux et de conformité s’accumulent. En compromettant la confidentialité des données personnelles des citoyens, les cyberattaques entraînent des obligations de notification et des amendes.
Le retour sur investissement d’une politique de cybersécurité
La plupart des organismes publics ne sont malgré tout pas prêts en termes de cybersécurité, voire ne se sentent pas concernés. À titre d’exemple, une étude du Groupement d’intérêt public (GIP) Cybermalveillance, publiée en mai 2022, révèle que 65% des communes de moins de 3 500 habitants estiment être à l’abri des cyberattaques. Des contraintes budgétaires, de temps et de moyens sont souvent évoquées.
Un investissement nécessaire
Les responsabilités et obligations du secteur public en matière de cybersécurité font de ce sujet un enjeu au niveau national. L’État a lancé fin 2020 le volet cybersécurité du plan France Relance, piloté par l’ANSSI – nos opérations de Sécurité Offensive sont d’ailleurs éligibles à ce financement, à l’image de notre bug bounty avec les collectivités territoriales françaises. Ce plan représente un investissement de 136 millions d’euros, visant à donner l’impulsion financière nécessaire pour un renforcement significatif et durable de la cybersécurité des bénéficiaires du secteur public.
D’autres initiatives nationales existent, comme le Chèque Diagnostic Cyber et le Chèque Investissement Cyber en Ile-de-France. Il est impératif que les organismes publics surmontent les défis financiers et technologiques pour garantir la sécurité des données et la confiance des citoyens.
Les véritables retours sur investissement
Les investissements en cybersécurité dans le secteur public sont un impératif stratégique. Ils protègent les citoyens et leurs données, et génèrent également des retours sur investissement significatifs et variés sur le long terme :
- La prévention des perturbations et une gestion plus efficace des incidents de sécurité permettent de maintenir la continuité des services publics. Les coûts liés à la remédiation après une cyberattaque sont nettement plus élevés que les investissements préventifs.
- Maintien de la confiance des usagers. Ces derniers ont besoin de savoir que leurs données personnelles et leurs informations sensibles sont en sécurité entre les mains du secteur public. La perte de confiance peut avoir des répercussions à long terme.
- Conformité aux réglementations/protection des données sensibles. Les institutions publiques doivent respecter des lois strictes sur la protection des informations personnelles, et les amendes pour non-conformité sont importantes.
- Renforcement de la crédibilité gouvernementale. Il s’agit de renforcer la confiance tant au niveau national qu’international pour de meilleures relations diplomatiques et économiques.
Lire aussi : Secteur public, enjeux et conséquences des cybermenaces
Yogosha, l’OffSec au service de la cybersécurité du secteur public
Pour le secteur public, la cybersécurité représente un investissement incontournable au vu des risques encourus. C’est dans l’optique de contrer ces risques que Yogosha accompagne les acteurs du secteur public. En tant que spécialistes de la Sécurité Offensive (OffSec), nous proposons diverses approches cyber :
- Pentest as a Service: un audit de sécurité lancé en moins d’une semaine et pour un prix fixe. Défrichez la plupart des vulnérabilités dans un produit et évaluez son niveau de sécurité à un instant T, ou planifiez plusieurs pentests tout au long de votre cycle de développement dans le cadre d’une approche DevSecOps.
- Bug bounty: une chasse aux vulnérabilités en profondeur avec les hackers d’élite de la Yogosha Strike Force. Identifiez les failles les plus critiques avec une logique de paiement aux résultats. Pas de vulnérabilités = pas de dépenses, vous ne récompensez que les résultats exploitables.
Expert en cybersécurité, Yogosha accompagne tous types d’organismes publics dans la protection de leurs systèmes d’information. Identifiez vos vulnérabilités grâce à des opérations de Pentest et de Bug Bounty, et centralisez et gérez votre stratégie de cybersécurité depuis une plateforme dédiée.
Le + : Yogosha accompagne tout particulièrement les lycées, universités et régions avec la mise en place de Bug Bounty pédagogiques, pour participer à former les ingénieurs en sécurité de demain.
Les ministères, les autorités locales et les administrations sont des cibles privilégiées pour les cyber-attaquants. Ayez un temps d’avance et renforcez votre sécurité dès maintenant.