Retrouvez-nous également sur le réseau social Twitter https://twitter.com/Primo_France

Bonne lecture !

Quels changements ?

La loi NOTRe supprime purement et simplement la clause de compétence générale des départements et des régions. Ainsi, elle permet une redistribution des compétences aux collectivités, et de nombreux changements s’opèrent, même si chacune des collectivités conservent des compétences communes notamment en matière de culture et de tourisme.

La région.

• Les régions sont renforcées dans leurs compétences sur le développement économique : elles auront notamment la responsabilité du soutien aux petites et moyennes entreprises, et elle devra fixer l’orientation de la politique économique régionale sur cinq ans via le schéma régional de développement économique, d’innovation et d’internationalisation (SRDEII).
• L’aménagement du territoire : la Région est toujours tenue de rédiger le schéma régional d’aménagement durable du territoire (SRADDT), qui insiste donc dorénavant sur le développement durable, ainsi que sur la mobilité, la lutte contre la pollution de l’air, la maîtrise et la valorisation de l’énergie, le logement et la gestion des déchets. Celui-ci aura une valeur prescriptive pour les SCOT et PLU.
• La formation professionnelle, la gestion des lycées
• Les transports hors agglomération (transport interurbain par autocar, transport scolaire, TER…), y compris les transports scolaires
• Mise en place d’un service d’accompagnement vers l’emploi, sans empiéter sur les prérogatives du Pôle Emploi

Le département.

François Hollande souhaitait leur disparition à l‘horizon 2020, mais ils en sortent maintenus et confirmés dans leurs prérogatives sociales.

• Action sociale : RSA, allocations, logements sociaux
• Gestion et financement des collèges
• Réseau routier départemental

Il reste donc le maillon social de la chaîne territoriale française, et se voit conforté dans son rôle de soutien aux populations en situation de fragilité, d’accueil des jeunes, d’accompagnement pour l’autonomie des personnes et de développement social.

La loi prévoit également d’articuler les relations entre départements et métropole. En effet, une convention doit être signée avant 2017 concernant les transferts et délégations de compétences concernant la voirie. Dès le 1er janvier 2017, si aucune convention n’a été signée dans les trois ans entre les départements et les métropoles, les compétences du département (sauf les collèges) sont transférées de plein droit à la métropole.

Les communes.

Seul échelon à conserver sa clause de compétence générale, elles conservent leurs prérogatives dans tous les domaines, mais se voient contraintes d’adhérer à un établissement public de coopération intercommunale (EPCI), auquel elles pourront transférer certaines de leurs compétences.

• Urbanisme : PLU, permis de construire, ZAC
• Production, installation et distribution de l’énergie
• Gestion et financement des écoles maternelles et primaires
• Transport urbain et stationnement
• CCASS, crèches, maisons de retraite

Attention cependant, à ne pas mésinterpréter l’intention du texte de loi ; cette obligation d’adhésion n’est pas une subordination des communes face aux EPCI. En effet, l’article 74 de la Constitution dispose qu’aucune collectivité ne peut exercer une tutelle sur une autre, et que celles-ci s’administrent librement.

Les EPCI.

L’on distingue deux types d’Établissements publics de coopération intercommunale ; les EPCI à fiscalité propre d’une part, comprenant les communautés de communes, les communautés d’agglomérations, les communautés urbaines, et les EPCI sans fiscalité propre d’autre part, comme les SIVU, SIVOM et syndicats mixtes.

Les intercommunalités devront être d’une taille minimale fixée à 15 000 habitants avec un plancher de 5 000 habitants (sauf exceptions notamment en zone de montagne). Ainsi, la carte des intercommunalités se transforme au fil du temps, entrainant fusions, réorganisations et mutualisations. Le seuil de 250 000 habitants inhérent au statut de communauté urbaine peut être contourné par les capitales régionales qui n’atteindraient pas ce plafond mais qui exercent d’ores-et-déjà toutes les compétences obligatoires d’une communauté urbaine. Leurs compétences seront définies en fonction des transferts des communes. Certaines compétences lui sont automatiquement transférées comme :

• La récolte et le traitement des déchets
• Le traitement et la distribution des eaux (obligatoire dès 2020)

Leur incombent également :

• La promotion touristique du territoire
• Les aires d’accueil des gens du voyage

Le transfert de la seule compétence « promotion touristique » est par ailleurs problématique dans son interprétation. La loi NOTRe concède la possibilité de créer un office du tourisme intercommunal or, selon le code du tourisme (article 133-3), ceux-ci ont pour missions obligatoires l’accueil, l’information et la promotion touristique (cf. question écrite n° 19189, JO du Sénat du 10/12/2015).

Concernant les syndicats, chaque membre doit être représenté par un membre de son organe délibérant et plus par une personne extérieure, et la fonction de délégué au sein des syndicats s’exerce désormais à titre bénévole.

Les métropoles.

Les métropoles de droit commun sont des EPCI qui récupèrent toutes les compétences des EPCI d’origine et exercent aussi des compétences en matière de développement économique, d’aménagement de l’espace, de l’habitat, de la politique de la ville, de gestion des services d’intérêt collectif et de protection de l’environnement. La loi NOTRe leur permet également de crée une Association d’information sur le logement (ADIL), qui était, jusqu’à présent, la prérogative des départements. Elles sont au nombre de dix depuis le 1^er janvier 2015 : Lille, Rouen, Brest, Strasbourg, Rennes, Nantes, Grenoble, Bordeaux, Montpellier, Toulouse (à celles-ci s’ajoute la Métropole Nice-Côte d’Azur, créée en 2011).

Trois métropoles de statut particulier : Lyon (1^er janvier 2015), le Grand Paris (1^er janvier 2016) et Aix-Marseille-Provence (2016), qui cumulent les compétences des communes, des EPCI et du département, avec la possibilité de délégations ponctuelles de compétences provenant de la région ou de l’Etat.

a

Les enjeux numériques de la loi NOTRe

Quatre grandes thématiques numériques sont filées tout au long du texte de loi promulgué le 8 août dernier : informer le citoyen, l’ouverture des données, la dématérialisation des actes et de certaines procédures et les compétences en matière de déploiement des réseaux.

Ainsi, la loi prévoit l’obligation pour la région de publier en ligne les modifications apportées à son schéma régional d’aménagement, de développement durable et d’égalité des territoires et le schéma d’amélioration de l’accessibilité des services au public. Les comptes rendus des conseils municipaux et certains documents financiers (notes explicatives de synthèse pour les communes ; rapports et note de synthèse pour les départements et régions) doivent également mis à disposition sur le site internet de la collectivité, en annexe du budget.

Les recueils d’actes administratifs devront également être publiés sur la plateforme numérique de l’entité, et il est également obligatoire pour les collectivités de plus de 3 500 habitants et leurs EPCI à fiscalité propre, de mettre en ligne toutes les informations publiques relatives à leur territoire dont elles disposent.

Enfin, une autre disposition centrale : l’obligation d’ici 2019 de dématérialiser les échanges de documents entre certains organismes et les comptables publics. Sont ainsi concernés les régions, les départements, les communes et EPCI à fiscalité propre de plus de 10 000 habitants, ainsi que certains établissements publics, notamment les centres hospitaliers.

On ne saurait trop recommander une vigilance toujours plus forte quant aux risques de pertes de données, de divulgation accidentelles de données sensibles et de piratage informatique, et de rappeler aux collectivités la nécessité de se couvrir contre les conséquences des cyber-attaques (voir notre rapport d’enquête à ce sujet).

a

Quelques articles :

http://www.vie-publique.fr/actualite/panorama/texte-discussion/projet-loi-portant-nouvelle-organisation-territoriale-republique.html

http://www.vie-publique.fr/focus/collectivites-territoriales-loi-notre-redefinit-leurs-competences.html

http://www.lemonde.fr/les-decodeurs/visuel/2015/05/28/que-change-la-loi-notre-pour-les-collectivites-territoriales_4642897_4355770.html

http://www.lemonde.fr/politique/article/2015/07/16/la-loi-notre-pour-les-collectivites-territoriales-definitivement-adoptee_4686095_823448.html

http://www.localtis.info/cs/ContentServer?pagename=Localtis/LOCActu/ArticleActualite&jid=1250269411716&cid=1250269389614

Ces données ont fait l’objet d’une lecture analytique et ont été compilées dans un rapport, afin d’en extraire une vision large et complète sur cet impératif fondamental qui incombe aux élus et dirigeants locaux. PRIMO France vous invite donc à en prendre connaissance en suivant le lien suivant :

Surveillance et maintenance des structures – des enjeux mal estimés

Bonne lecture !

Par la suite, un questionnaire en ligne a été envoyé à une centaine de collectivités françaises, villes et intercommunalités, portant sur l’exposition de ces dernières au cyber risque. Les résultats de l’étude ont ensuite été discutés dans le cadre d’un groupe de travail, dont faisaient partie, en plus des membres du premier groupe de réflexion, M. Thomas Graiff, Responsable du secteur public au sein du groupe Marsh, ainsi que deux collaborateurs de l’assureur Beazley : Mme Julia Popper, Directeur de développement pour la France et M. Jimaan Sané, souscripteur en cyber risque.

Primo vous invite lire ce rapport en suivant le lien ci-dessous : 

Les collectivités face aux conséquences d’une cyber attaque

Comme le préconise Thomas Graiff, Directeur commercial de Marsh France à Paris, « les collectivités territoriales, et toute administration bénéficiant d’une autonomie de gestion, ont tout intérêt à transférer leurs risques auprès d’un ou de plusieurs assureurs »

« La mairie, par exemple, doit assurer les écoles sous sa responsabilité », continue-t-il, « idem pour le département s’agissant des collèges et les régions en matière de lycées; quant aux universités, qui ont gagné leur autonomie, elles doivent s’assurer elles-mêmes, depuis cette émancipation ».

La Revue du Courtage précise que les Administrations décentralisées sont les plus grands clients des divers courtiers et assureurs, ce segment étant en plein essor.

« S’agissant d’un marché particulier, les professionnels de l’assurance doivent à la fois maîtriser les subtilités de leur métier ainsi que les enjeux et les défis de ce terreau de l’administration. Chez Marsh, nous mobilisons un ensemble de spécialistes autour de différentes entités pour tenir compte des réalités de ce segment. », indique Thomas Graiff.

La Revue du Courtage conseille en outre aux administrations territoriales de s’ouvrir au Risk Management, au même titre que les structures privées.
Article paru le en Septembre 2014 dans La Revue du Courtage, disponible en kiosques.
En savoir plus : http://www.csca.fr/contenu/PubCSCA/Informations/RevueCourtage/RevueCourtageCouvertures.html

Interview de M. Yves Le Floch, Directeur du Développement de la Cybersécurité chez SOGETI.

Le Mercredi 19 Mars 2014.

Sogeti (Société pour la Gestion de l’Entreprise et Traitement de l’Information) est l’un des leaders des services informatiques et d’ingénierie de proximité, spécialisé dans la gestion des applicatifs et des infrastructures (application and infrastructure management), le conseil en technologies (high-tech engineering), la cybersécurité et le Testing.
Division mondiale du groupe Capgemini, Sogeti aide ses clients à optimiser les performances de leurs systèmes d’information grâce à l’innovation technologique.
Sogeti est titulaire exclusif des prestations « sécurité des systèmes d’informations » et « développement d’applications mobiles » du nouveau dispositif «prestations intellectuelles informatiques (P2i) » de l’UGAP, basé sur des unités d’œuvres.
Avec ce dispositif, l’UGAP simplifie, professionnalise et rationalise l’achat de prestations tout en mettant à la disposition de ses clients le savoir-faire d’une société de pointe.
Sogeti est également partenaire du courtier en assurance Marsh France pour la maîtrise et le transfert des cyber-risques.

1/ A quels cyber risques les collectivités locales et autres entités publiques peuvent-elles avoir à faire ?

La cybersécurité sert principalement à protéger trois aspects du système d’information : la confidentialité, l’intégrité et la disponibilité des données.

Ces données peuvent être attaquées par trois types d’agresseurs, qui ont leurs propres motifs et des capacités techniques de plus en plus avancées.

Le premier type de cyber-agresseur sera le délinquant, qui volera les données pour les revendre au plus offrant. Ou encore utilisera un « ransomware » ou « rançongiciel » : ce logiciel malveillant permet de chiffrer les dossiers, de prendre en otage les données et parfois de bloquer l’accès à un réseau ; les propriétaires doivent alors payer la rançon pour récupérer leurs données, sans jamais être certains de leur récupération correcte ni du fait que le tout n’ait pas été revendu.

On peut aussi avoir affaire à une cyber-agression d’ordre idéologique, telle que le vol de données confidentielles ou privées à des fins de publication en ligne, pour ainsi ternir l’image de la personnalité ou de l’organisme visé. Un autre type d’agression est la défiguration d’un site web, celui d’une mairie par exemple, en changeant des photos ou insérant des messages politiques. De nombreuses collectivités territoriales sont chaque année victimes de tels agissements.

Les deux premiers agresseurs ont aussi un mode d’attaque en commun, qui est de saturer les sites visés, provoquant ainsi un sabotage nommé « attaque en déni de service » qui empêche tout accès au site.

Il existe aussi des agresseurs d’ordre stratégique, souvent très sophistiqués, qui sont eux liés à des Etats et récupéreront des données technologiques, opérationnelles ou stratégiques à des fins d’espionnage.

2/Le cyber-terrorisme est-il une menace réelle ? Quelles formes peut-il prendre ?

Pour l’instant, le cyber-terrorisme reste une menace virtuelle, sans effet significatif à ce jour, mais il est de plus en plus redouté. Les attaques porteraient sur des opérateurs d’importance vitale : hôpitaux, transports, énergie, communications… déréglant ainsi leurs systèmes d’opération et provoquant la confusion, le sabotage, voire l’arrêt total des activités. Le cyber-terrorisme pourrait créer des dommages physiques importants, car de plus en plus de services sont connectés, via internet ou tout autre réseau, et sont ainsi vulnérables.

N’oublions pas de mentionner la distribution des eaux, qui pourrait également être attaquée à distance, et là aussi, l’arrêt de l’activité est à craindre, voire un surdosage d’un élément dangereux, menant à un empoisonnement. Ou même les feux rouges, lorsque ceux-ci sont régulés par des systèmes reliés, directement ou indirectement, aux réseaux publics. Les saboter à distance pourrait provoquer des accidents et bloquerait une bonne partie de la circulation.

3/ De plus en plus de mairies et d’agences de l’Etat offrent des services numérisés, comme des demandes en ligne de documents administratifs. Quels sont vos conseils pour éviter l’usurpation d’identité ou le piratage des données ?

Le problème en France est qu’il n’y a pas de système d’authentification à distance fiable, car les politiques ont toujours reculé sur la création d’une carte d’identité à puce utilisable pour prouver son identité via internet. Ainsi, lors d’une demande administrative en ligne, il n’y a aucun moyen sûr de savoir si le demandeur n’est pas un imposteur, car n’importe qui peut se faire passer pour moi.

Il n’y a pas de solution vraiment sûre pour régler cette question de l’authentification, il faut donc se contenter de systèmes existant. Pour une demande d’état civil, par exemple, aucune preuve d’identité n’est demandée ; pour l’accès au dossier fiscal, Bercy se contente d’identifiants transmis par courrier ; pour des échanges vraiment sensibles, l’administration française doit trouver d’autres solutions.

Un moyen simple est d’ouvrir un compte personnel en mairie, après justification de son identité, avec attribution d’un mot de passe personnel. Le mot de passe est loin d’être un moyen sûr, mais c’est déjà un début d’authentification. Et dans tous les cas, le chiffrement des données est un impératif, dès lors qu’il s’agit de données sensibles ou personnelles, aussi bien lors des échanges que lors du stockage.

Mais je vais surtout insister sur un point particulier : les collectivités territoriales, et les entités publiques en général sont tenues par la loi d’appliquer le Référentiel Général de Sécurité, notamment pour les téléservices. Le RGS est un document technique, qui explique les démarches professionnelles à effectuer, comme l’analyse des risques auxquels on est exposé. Il est important de le respecter et de le faire respecter, y compris lorsque l’on confie certains services ou développements informatiques à une entreprise prestataire.

4/ La ville « hyper-connectée » paraît avoir une certaine popularité auprès des élus : beaucoup veulent promouvoir un ensemble de services accessibles depuis n’importe quelle connexion internet, afin de désengorger les mairies et leurs annexes. Pensez-vous  que ces technologies seront viables sur le long terme ? La numérisation des données ne comporte-t-elle pas le risque d’être détournée par une source malveillante ? Que conseilleriez-vous à une collectivité locale qui veut promouvoir l’outil numérique ?

Oui, bien sûr, ces technologies sont viables ! Hors de question de revenir à la Préhistoire.
Quant au détournement par une source malveillante, ce danger est à prendre avec le plus grand sérieux, bien entendu. Il faut mettre en œuvre une démarche professionnelle de prise en compte de la sécurité, comme l’impose le RGS.

Un site « plaquette », basique, où l’on présente seulement des informations générales (horaires d’ouverture, adresse de la mairie…), ne requiert pas de mécanisme poussé de sécurité. En revanche, dès lors qu’un site devient « transactionnel », avec des services interactifs en ligne et une collecte de données personnelles, de forts enjeux de sécurité apparaissent. Ce type de site doit être réalisé avec professionnalisme. Les entités publiques doivent investir correctement dans l’outil informatique, sous peine d’être très vite dépassées et de voir leurs données (et celles de leurs administrés) piratées par les cyber-agresseurs mentionnés ci-dessus.

Ainsi, il faut impérativement appliquer le RGS pour développer les différents services en ligne et veiller aussi au respect des exigences « informatiques et liberté » portant sur les données personnelles. Ces deux références jouent sur des tableaux différents, l’une étant tournée vers le juridique et l’autre vers la pratique, mais utilisées en plein complémentarité, elles permettent une nette diminution du risque sécuritaire. Sans pour autant le supprimer totalement, malheureusement.

Je recommande également la sensibilisation du personnel aux questions de sécurité, car un point faible de tout système de sécurité, aussi développé et impénétrable soit-il, reste l’homme. Des campagnes de sensibilisation qui peuvent prendre plusieurs formes : une formation d’une à deux heures tous les ans, des affiches, des articles périodiques, etc. Une sensibilisation légère mais régulière.

Pour les collectivités importantes, il est nécessaire de disposer d’un responsable des questions de sécurité des systèmes d’information, pas nécessairement un spécialiste avec cinq ans d’études dans le domaine, mais une personne correctement formée, qui connaîtrait les aspects aussi bien techniques que juridiques de la question. Il serait ainsi responsable des campagnes de sensibilisation, du conseil aux projets informatique, se tiendrait informé des différentes réglementations et pourrait également être chargé des questions « informatique et liberté ».

Une autre recommandation est de toujours tester et vérifier la sécurité, par exemple en faisant réaliser des tests nommés « pentests » (pour « penetration testing »), où des prestataires chargent des professionnels de la sécurité, naturellement sous contrat avec l’entreprise, d’essayer de pénétrer les systèmes pour vérifier la solidité des barrières. Ces hackers éthiques font ensuite rapport sur la viabilité de la sécurité et le client peut alors améliorer ce qui est déjà mis en place.

Enfin, j’aimerais terminer en rappelant que le plus important dans l’organisation de la sécurité reste de s’assurer qu’un responsable compétent est bien identifié et dispose des moyens d’exercer sa mission.

Pour en savoir plus sur SOGETI, et son partenariat avec l’UGAP, cliquez sur les liens suivants :
http://www.fr.sogeti.com/node/671
http://www.ugap.fr/
http://www.fr.sogeti.com/

Pour en savoir plus sur le RGS et la CNIL, cliquez sur les liens suivants :
http://www.ssi.gouv.fr/fr/reglementation-ssi/referentiel-general-de-securite/
http://www.cnil.fr/

Voir ici l’approche systémique de Sogeti sur les cyber-risques