Victimes de cyberattaques : des collectivités témoignent
Publiée le 20/12/2021 -
Sans partage d’expériences, pas de culture du risque. À l’heure où le numérique prend de plus en plus de place, les communes font face à une explosion de données connectées.
Que ce soit par les contrôles d’accès par badge pour accéder à des locaux, la vidéosurveillance, la lecture des plaques d’immatriculation dans les parkings, les informations pour s’inscrire à la bibliothèque, l’état civil ou même maintenant les permis de construire. Nombre de données sont collectées et suscitent la convoitise des cyberattaquants. Des collectivités victimes de cyberattaques témoignent.
Je pense qu’il est important de partager nos expériences et nos bonnes pratiques pour prévenir le risque qui est tout à fait dommageable lorsqu’il va à son terme. Il y a une commune voisine de Pantin qui a été attaquée et qui n’est toujours pas remise. Que ce soit un petit hôpital en région ou une grosse collectivité francilienne, il peut y avoir une logique liée à la rançon ; les attaquants vont plutôt s’en prendre à des établissements ou des communes dotés des moyens de payer mais nous ne sommes pas égaux devant la richesse. Cela reste un acte, dans le meilleur des cas de malveillance, dans le pire des cas de criminalité.
Il n’y a pas de tabou à avoir à l’égard de ce type d’acte. C’est le principe de la victime qui a honte d’avoir subi une agression quelle qu’en soit la teneur. Lorsque j’ai été contacté pour venir témoigner, je ne me suis pas posé la question de savoir si j’avais honte ou pas. Ce n’est pas un tabou. Chaque jour les collectivités en sont les cibles mais également les hôpitaux. Ce qui a des conséquences assez graves. Il peut y avoir un risque politique peut-être à dire que l’on ne s’est pas suffisamment préparé parce que les oppositions locales s’en serviraient pour critiquer la gestion d’une majorité donnée. Mais, pour autant, ce sont quand même des investissements importants qu’il faut déployer pour engager la sécurité de nos systèmes d’information. Ne renversons pas la charge de la honte. C’est d’abord aux criminels qu’il faut s’en prendre avant de jeter l’opprobre sur les municipalités qui subissent ces attaques.
Jean-Louis Héno, directeur général des services, ville de Pantin
Que ce soit par les contrôles d’accès par badge pour accéder à des locaux, la vidéosurveillance, la lecture des plaques d’immatriculation dans les parkings, les informations pour s’inscrire à la bibliothèque, l’état civil ou même maintenant les permis de construire. Nombre de données sont collectées et suscitent la convoitise des cyberattaquants. Des collectivités victimes de cyberattaques témoignent.
Pourquoi est-il important de témoigner ?
Je pense qu’il est important de partager nos expériences et nos bonnes pratiques pour prévenir le risque qui est tout à fait dommageable lorsqu’il va à son terme. Il y a une commune voisine de Pantin qui a été attaquée et qui n’est toujours pas remise. Que ce soit un petit hôpital en région ou une grosse collectivité francilienne, il peut y avoir une logique liée à la rançon ; les attaquants vont plutôt s’en prendre à des établissements ou des communes dotés des moyens de payer mais nous ne sommes pas égaux devant la richesse. Cela reste un acte, dans le meilleur des cas de malveillance, dans le pire des cas de criminalité.
Il n’y a pas de tabou à avoir à l’égard de ce type d’acte. C’est le principe de la victime qui a honte d’avoir subi une agression quelle qu’en soit la teneur. Lorsque j’ai été contacté pour venir témoigner, je ne me suis pas posé la question de savoir si j’avais honte ou pas. Ce n’est pas un tabou. Chaque jour les collectivités en sont les cibles mais également les hôpitaux. Ce qui a des conséquences assez graves. Il peut y avoir un risque politique peut-être à dire que l’on ne s’est pas suffisamment préparé parce que les oppositions locales s’en serviraient pour critiquer la gestion d’une majorité donnée. Mais, pour autant, ce sont quand même des investissements importants qu’il faut déployer pour engager la sécurité de nos systèmes d’information. Ne renversons pas la charge de la honte. C’est d’abord aux criminels qu’il faut s’en prendre avant de jeter l’opprobre sur les municipalités qui subissent ces attaques.
Jean-Louis Héno, directeur général des services, ville de Pantin
Quelles ont été vos premières actions après l'attaque ?
Après la cyberattaque de fin janvier, l’urgence a été de rétablir les systèmes d’information. Il a fallu consacrer des sommes importantes pour se doter de nouvelles infrastructures. Nous avons aussi fait appel à de la prestation pour redonner à la mairie de Houilles une structure informatique suffisante afin qu’elle puisse reprendre son activité normale. Pour pallier l’absence d’outil informatique durant l’attaque, nous avons sollicité nos agents pour saisir manuellement les informations, par exemple pour le périscolaire.
Le sens de l’engagement s’est traduit par une vraie solidarité qui s’est mise en place entre services. Quand il a fallu réinstaller les postes de travail, plusieurs agents de la collectivité se sont portés volontaires pour aider et cela a participé à la cohésion dans ces moments difficiles. Des actions de prévention vont être déployées en 2022. Nous allons allouer une enveloppe budgétaire pour faire réaliser des tests d’intrusion dans nos systèmes par des sociétés spécialisées pour s’assurer que notre infrastructure reste à jour et peu exposée à ce type de risque.
La prise de conscience a été brutale, il a fallu se rendre compte que le risque soit avéré pour agir. Mais maintenant elle s’est faite et elle est dans tous les esprits. Le partage d’expériences est primordial pour faire comprendre aux élus qu’il ne faut pas négliger les investissements en informatique.
Sébastien Simonin, conseiller municipal délégué au numérique, aux entreprises et à la prospective économique, ville de Houilles
Le sens de l’engagement s’est traduit par une vraie solidarité qui s’est mise en place entre services. Quand il a fallu réinstaller les postes de travail, plusieurs agents de la collectivité se sont portés volontaires pour aider et cela a participé à la cohésion dans ces moments difficiles. Des actions de prévention vont être déployées en 2022. Nous allons allouer une enveloppe budgétaire pour faire réaliser des tests d’intrusion dans nos systèmes par des sociétés spécialisées pour s’assurer que notre infrastructure reste à jour et peu exposée à ce type de risque.
La prise de conscience a été brutale, il a fallu se rendre compte que le risque soit avéré pour agir. Mais maintenant elle s’est faite et elle est dans tous les esprits. Le partage d’expériences est primordial pour faire comprendre aux élus qu’il ne faut pas négliger les investissements en informatique.
Sébastien Simonin, conseiller municipal délégué au numérique, aux entreprises et à la prospective économique, ville de Houilles
Quelles actions mettre en oeuvre pour pallier les cyber-risques ?
C’est vraiment une vigilance et une pédagogie régulières. Il faut expliquer aux collègues pourquoi un certain nombre de pratiques sont nécessaires. Pourquoi nous avons aujourd’hui des systèmes qui mettent à distance des courriels suspects grâce à des outils de type Mailinblack ? Pourquoi le wifi n’est pas à volonté surtout quand on a subi une attaque comme la nôtre ? Aujourd’hui on réinstalle le wifi avec des systèmes de sécurité renforcés. Comment la question du télétravail que nous avons eu à mettre en place en raison de la pandémie nous oblige à des logiques de sécurisation car le travail à distance expose à des failles de nos systèmes ? C’est de notre ressort en tant qu’encadrants. Durant les 4 jours de paralysie totale, nous avons vu notre degré de dépendance au numérique.
À l’époque lorsque nous avions interdit les clés USB, la mesure avait été sans doute incomprise. Le fait d’avoir été cyberattaqué nous a permis de rappeler que cette forme d’interdiction participait à prévenir de ce risque auquel nous étions directement exposés car les clés transportent des virus, des chevaux de Troie, des malwares. Une fois que l’attaque est passée, on l’oublie et comme il n’y a pas eu de dommages, tout va bien sauf qu’elle peut se reproduire. Il faut qu’une vigilance collective soit opérée et c’est à nous, en tant que managers, de la rappeler régulièrement.
Jean-Louis Héno, directeur général des services, ville de Pantin
À l’époque lorsque nous avions interdit les clés USB, la mesure avait été sans doute incomprise. Le fait d’avoir été cyberattaqué nous a permis de rappeler que cette forme d’interdiction participait à prévenir de ce risque auquel nous étions directement exposés car les clés transportent des virus, des chevaux de Troie, des malwares. Une fois que l’attaque est passée, on l’oublie et comme il n’y a pas eu de dommages, tout va bien sauf qu’elle peut se reproduire. Il faut qu’une vigilance collective soit opérée et c’est à nous, en tant que managers, de la rappeler régulièrement.
Jean-Louis Héno, directeur général des services, ville de Pantin
La Région Nouvelle-Aquitaine a déployé, dès juillet 2020, une feuille de route sur la cybersécurité avec cet adage "Si on veut faire du développement économique, il faut passer par le numérique et qui dit numérique dit données et donc cybersécurité".
À Niort, nous sommes certifiés en maîtrise des risques. Il y a également des acteurs universitaires locaux qui proposent des formations sur la cybersécurité et une présence importante des mutuelles. Grâce à tous ces acteurs, nous considérons que nous avons notre rôle à jouer dans la lutte contre les cyberattaques. Les formations locales sont menées notamment par l’IRIAF (Institut des risques industriels, assurantiels et financiers), le Pôle universitaire niortais qui propose une formation en management des risques de systèmes d’information axée sur la cybersécurité et labélisée SecNumedu (Sécurité Numérique éducation). Cette labélisation vise à améliorer le référencement des formations sur la cybersécurité et nous avons la chance d’en avoir une sur le territoire.
En 2019, l’IRIAF a mis en place le projet FRUIT (Formation aux Bons réflexes dans les usages de la cybersécurité). Ce projet était destiné à doter l’établissement d’un cyber-range qui est un lieu où l’on va pouvoir s’exercer et se préparer aux cyberattaques. On est dans un environnement de crise et on s’entraîne comme si l’on était attaqué pour voir comment réagir à partir d’un jeu de données et de cas tests précis. L’objectif est de déterminer comment améliorer les systèmes d’information.
Ce projet FRUIT a fait que nous nous sommes emparés du sujet. D’où l’arrivée sur le territoire d’un centre de ressources en cybersécurité. Ce sont 4 centres de ressources qui devraient voir le jour en Nouvelle-Aquitaine : à Bordeaux, Limoges, Mont-de-Marsan et Niort.
Celui de Bordeaux serait plus axé sur l’IoT (l’Internet des objets connectés), Mont-de-Marsan sur la défense, Limoges sur la santé et Niort se concentrerait sur la partie formation notamment avec le cyber-range.
Ce centre de ressources est le fruit d’une coopération entre les acteurs de la recherche, de l’enseignement, de l’administration publique, de collectivités, de fédérations et d’associations professionnelles. On y retrouvera le cyber-range pour l’aspect formation mais aussi de la sensibilisation. Ce centre de ressources devrait être déployé dès début 2022.
François Guyon, Délégué du Président Agglo Niort Numérique et Territoire innovant et connecté
À Niort, nous sommes certifiés en maîtrise des risques. Il y a également des acteurs universitaires locaux qui proposent des formations sur la cybersécurité et une présence importante des mutuelles. Grâce à tous ces acteurs, nous considérons que nous avons notre rôle à jouer dans la lutte contre les cyberattaques. Les formations locales sont menées notamment par l’IRIAF (Institut des risques industriels, assurantiels et financiers), le Pôle universitaire niortais qui propose une formation en management des risques de systèmes d’information axée sur la cybersécurité et labélisée SecNumedu (Sécurité Numérique éducation). Cette labélisation vise à améliorer le référencement des formations sur la cybersécurité et nous avons la chance d’en avoir une sur le territoire.
En 2019, l’IRIAF a mis en place le projet FRUIT (Formation aux Bons réflexes dans les usages de la cybersécurité). Ce projet était destiné à doter l’établissement d’un cyber-range qui est un lieu où l’on va pouvoir s’exercer et se préparer aux cyberattaques. On est dans un environnement de crise et on s’entraîne comme si l’on était attaqué pour voir comment réagir à partir d’un jeu de données et de cas tests précis. L’objectif est de déterminer comment améliorer les systèmes d’information.
Ce projet FRUIT a fait que nous nous sommes emparés du sujet. D’où l’arrivée sur le territoire d’un centre de ressources en cybersécurité. Ce sont 4 centres de ressources qui devraient voir le jour en Nouvelle-Aquitaine : à Bordeaux, Limoges, Mont-de-Marsan et Niort.
Celui de Bordeaux serait plus axé sur l’IoT (l’Internet des objets connectés), Mont-de-Marsan sur la défense, Limoges sur la santé et Niort se concentrerait sur la partie formation notamment avec le cyber-range.
Ce centre de ressources est le fruit d’une coopération entre les acteurs de la recherche, de l’enseignement, de l’administration publique, de collectivités, de fédérations et d’associations professionnelles. On y retrouvera le cyber-range pour l’aspect formation mais aussi de la sensibilisation. Ce centre de ressources devrait être déployé dès début 2022.
François Guyon, Délégué du Président Agglo Niort Numérique et Territoire innovant et connecté
Point de vue d'expert
Je pense qu’il y a une incompréhension sur ce que recouvre la situation de cyberattaque, ce qui peut expliquer que 44 % des répondants de votre étude estiment que c’est un risque mineur. Ce qu’ils entendent et perçoivent par cyberattaque ce sont des attaques externes ; or, le quotidien des collectivités territoriales ce n’est pas les attaques externes malveillantes. Certes lorsqu’elles arrivent, elles créent énormément de difficultés pour la collectivité d’autant plus que la presse s’en fait l’écho. Durant ces dernières années, il y a eu des exemples rendus publics de communes victimes de cyberattaques externes qui ont complétement bloqué leurs activités. La plus connue c’est celle de la commune d’Angers mais il y en a eu d’autres. Néanmoins, la réalité du risque pour les collectivités vient de l’interne, soit par des actes internes accidentels, soit par des actes internes malveillants.
Les conséquences sont exactement les mêmes que si on avait subi une attaque de l’extérieur et c’est de ce risque que les élus, DGS/DGA/managers ont peu conscience et qui fait pourtant partie de leur quotidien car ils manipulent énormément de données à caractère personnel et sensible, que ce soit au niveau des communes, des caisses des écoles, des CCAS. Une commune peut détenir énormément de données personnelles sensibles sur des habitants actuels et passés, d’autant plus qu’elles n’ont, pour la plupart d’entre elles, pas mis en œuvre de politique de purge des données.
Derrière une fuite de données, il n’y a pas nécessairement un groupe d’attaquants. Cela peut donc se produire tous les jours dans n’importe quelle commune sauf à ce qu’il y ait une prise de conscience du top management jusqu’aux personnes qui manipulent au quotidien des données : la personne qui est à l’accueil ou celle qui va enregistrer une naissance dans le fichier d’état civil. C’est par elles et par le manque de formation que les fuites de données peuvent intervenir plus facilement.
Me Virginie Bensoussan-Brulé, avocate, directrice du pôle contentieux numérique, Lexing Alain Bensoussan Avocats
Les conséquences sont exactement les mêmes que si on avait subi une attaque de l’extérieur et c’est de ce risque que les élus, DGS/DGA/managers ont peu conscience et qui fait pourtant partie de leur quotidien car ils manipulent énormément de données à caractère personnel et sensible, que ce soit au niveau des communes, des caisses des écoles, des CCAS. Une commune peut détenir énormément de données personnelles sensibles sur des habitants actuels et passés, d’autant plus qu’elles n’ont, pour la plupart d’entre elles, pas mis en œuvre de politique de purge des données.
Derrière une fuite de données, il n’y a pas nécessairement un groupe d’attaquants. Cela peut donc se produire tous les jours dans n’importe quelle commune sauf à ce qu’il y ait une prise de conscience du top management jusqu’aux personnes qui manipulent au quotidien des données : la personne qui est à l’accueil ou celle qui va enregistrer une naissance dans le fichier d’état civil. C’est par elles et par le manque de formation que les fuites de données peuvent intervenir plus facilement.
Me Virginie Bensoussan-Brulé, avocate, directrice du pôle contentieux numérique, Lexing Alain Bensoussan Avocats
PLUS D'INFOS
> Revivre la 20ème édition du colloque de l'Observatoire SMACL
> Accéder au site de l'Observatoire SMACL
> Lire le communiqué de presse : "Les collectivités territoriales face aux cyberattaques"
> Revivre la 20ème édition du colloque de l'Observatoire SMACL
> Accéder au site de l'Observatoire SMACL
> Lire le communiqué de presse : "Les collectivités territoriales face aux cyberattaques"