Les dirigeants de collectivités territoriales françaises confrontés à la gestion opérationnelle des cybermenaces : une approche typologique

Résumé Fr En

Les données évaluant la prise en compte par les dirigeants de collectivités territoriales de la Sécurité de leurs Systèmes d’Information (SSI) sont rares en général et quasiment inexistantes en France. Dans le même temps, cette sécurisation constitue un impératif stratégique majeur qui dépasse le simple cadre local au regard de l’augmentation constante des cyberattaques contre des collectivités – y compris de taille modeste – depuis le début de la crise sanitaire. Cet article s’intéresse en partie à ce paradoxe et tente de combler ce gap. Les fondements théoriques de cette recherche reposent sur trois piliers, les travaux liés à l’adoption et à l’appropriation des outils numériques en mode TOE de Tornatzky et Fleischer (1990), les travaux sur les risques numériques en organisation publique de Norris et al. (2019) et les travaux liés à la prévention des cyberattaques de Février (2020). Il est empiriquement fondé sur les données de l’unique enquête spécifiquement réalisée à ce jour en cybersécurité auprès de 67 dirigeants de collectivités de moins de 3 500 habitants avec un traitement statistique successivement descriptif puis par classification hiérarchique. L’article pose la question du « pourquoi » de cette vulnérabilité en décryptant les freins retardant le déploiement d’une véritable politique de sécurisation des SI des collectivités territoriales. L’analyse menée tend à mettre en évidence certaines lacunes en matière de prise de conscience de la réalité des risques numériques par les décideurs territoriaux et propose une typologie des profils de dirigeants de collectivités relativement au management des risques numériques. L’objectif poursuivi est de contribuer à l’opérationnalisation par les pouvoirs publics d’une démarche volontariste de sécurisation structurelle des SI territoriaux ainsi que des données à caractère personnel des citoyens.

Data assessing the extent to which local authority managers take into account the security of their information systems (IS) are rare in general and non-existent in France. Yet this security is a major strategic imperative that goes beyond the local level, as shown by the constant increase in cyberattacks against local authorities – including small ones – since the beginning of the Covid crisis19. The theoretical underpinnings of this article are based on the work related to the adoption and appropriation of digital tools in TOE mode by Tornatzky and Fleischer (1990), on that related to digital risks in public organisations by Norris et al. (2019) as well as on that related to cyberattacks by Février (2020). It is empirically based on data from the only survey specifically carried out to date on cybersecurity among 67 managers of local authorities with fewer than 3,500 inhabitants, with a statistical treatment that is successively descriptive and by hierarchical classification. The article asks the question of the ‘why’ of this vulnerability by deciphering the obstacles delaying the deployment of a real IS security policy for local authorities. The analysis carried out tends to highlight worrying gaps in the awareness of the reality of digital risks by territorial decision-makers and proposes a typology of the profiles of local authorities’ leaders in relation to digital risk management. The objective is to contribute to the operationalization by the public authorities of a proactive approach of structural security of territorial IS as well as of citizens’ personal data.