« C’est un sujet important qui touche tout le monde, même si l’on n’ose pas trop en parler ». Visant à prodiguer des conseils d’ordre technique, juridique, et administratif aux collectivités en matière de transformation numérique, la matinale de l’opérateur public interdépartemental Seine-et-Yvelines Numérique a mis cette fois-ci le focus sur une menace qui est montée en puissance ces derniers mois, celle liée à la dématérialisation des services publics. En 2020, les collectivités locales et territoriales ont été la première cible des cyberattaques France, avec 20 % des attaques (de type rançongiciel). La faille étant principalement humaines, sensibiliser les agents et les élus à ce risque est essentiel, comme a pu en témoigner Julien Chambon, maire de Houilles.
La commune, victime d’une cyberattaque en février dernier, était alors en proie à un autre virus, celui de la Covid-19. « Nous devions gérer le quotidien, dans une phase aigüe de la crise », s’est remémoré Julien Chambon. Consciente que son dispositif de protection en matière numérique était assez « classique et traditionnel », la commune n’avait pas toutefois pas imaginé devoir faire face à une telle situation. « Nous savions que nos systèmes de sécurité nécessitaient d’être réformés. Nous avions confié, 15 jours plus tôt, la direction de notre service informatique à des prestataires externes. Heureusement ! Nous étions sous-calibrés, incapables de gérer, de réagir face à cette attaque », a confié l’édile. Les équipes municipales ont vécu une première phase de « sidération », la menace étant « invisible » et « inintelligible pour le commun des mortels », avant de comprendre la gravité de la situation.
« Nous avons pris un coup de gourdin sur la tête. Nous nous sommes rendus compte que près de 80 % des données de la collectivité avaient été cryptées », a poursuivi Julien Chambon, précisant que cet « or noir » n’avait toutefois pas été « aspiré » par les cyber-délinquants. « C’est très frustrant : les données sont bel et bien chez vous, mais vous n’y avez plus accès », a témoigné le conseiller départemental. Bien qu’ayant retrouvé un formulaire permettant de contacter les auteurs de l’attaque, la commune a fait le choix de ne pas rentrer dans un dialogue avec ces derniers. « On ne sait pas si le dialogue portera ses fruits. Et par principe, nous avons tout de suite confié l’affaire dans les mains des autorités judiciaires et policières, pour, le cas échant, investiguer sur l’attaque ». La Ville a également eu des difficultés pour stopper l’avancée des attaquants dans le système, l’architecture informatique étant obsolète.
Le maintien des services publics
« Vous êtes complètement paralysés, parce que le digital est partout dans votre quotidien », a ensuite expliqué Julien Chambon. Les agents ont, par exemple, eu des difficultés pour accéder « aux petites données du quotidien », comme les noms des enfants accueillis au périscolaire, ou, plus grave encore, les numéros à appeler s’il leur arrivait malheur.
« Nous avons donc été contraints, d’abord, de mesurer l’impact de l’attaque. Nous avons, bien sûr, rapidement informé les équipes administratives et fait en sorte de maintenir les services publics assurés par la mairie. Nous avons eu recours à des solutions de type papier, listing, mémoire, pour pouvoir accueillir en toute sécurité les publics. Nous ne pouvions pas dire aux parents de rentrer chez eux », a assuré Julien Chambon, confiant avoir trouvé « très violent » de devoir informer les usagers de la situation en tant que collectivité.
« Du jour au lendemain, la Ville a été coupée de l’extérieur. Même le téléphone, qui passait également par le réseau (téléphonie IP), ne fonctionnait plus. Nous nous sommes retrouvés complètement isolés. C’est inacceptable pour une ville. Imaginez, s’il faut recevoir, ou envoyer un message important, ou s’il y a une urgence ! ».
Si la commune n’était pas acculturée au Cloud et à l’utilisation du smartphone, elle est tout de parvenue à basculer très vite d’un système très traditionnel à un dispositif de communication créé ex-nihilo, notamment pour relancer la communication avec l’extérieur (pour les mails, la commune a, par exemple, choisi le dispositif en ligne proposé par Office 365).
Un impact financier important
S’agissant des démarches à mener auprès des autorités, la mairie a bien entendu porté plainte. Mais ses données ayant été cryptée et non dérobées, elle n’a pas eu de démarches à mener auprès de la Cnil (la Commission nationale informatique et libertés). « La situation était moins grave que si nous avions été une entreprise : une collectivité ne va pas disparaître en raison de ce type d’attaques. Mais il nous faudra tout de même encore plusieurs mois pour nous en remettre, certains problèmes n’étant pas encore réglés, même un an après », a souligné Julien Chambon.
Financièrement, l’impact de l’attaque se chiffre à hauteur de 500 000 à 600 000 euros. La Ville aurait quoi qu’il en soit été contrainte d’investir pour moderniser son dispositif informatique, mais pas de cette façon. « Nous n’avons pas lésiné sur les moyens, investissant sur trois mois ce que nous aurions dû investir sur trois ans », a précisé Julien Chambon, ajoutant que l’assurance souscrite par la commune n’avait pas non plus été calibrée pour couvrir un tel risque. « Rien n’est adapté à une telle attaque, on ne mesure pas les conséquences ».
Monter une stratégie cyber
Stockage, architecture, antivirus, sauvegarde externe… Après la gestion de l’urgence, la Ville s’est attelée à la modernisation de son système, en ayant recours à l’externalisation. « On n’imagine pas le nombre de métiers spécialisés dans le domaine de la cybersécurité. On ne peut pas tout maîtriser. Mais notre enjeu, désormais, c’est de monter une stratégie et d’agréger tous ces prestataires pour avoir une protection, une cybersécurité de bon niveau », a ajouté Julien Chambon. « Nous devons passer au digital qui permet de gagner de l’argent, proposer le meilleur service à la population, adopter ce nouveau paradigme du digital dans la prestation des services publics », a conclu Julien Chambon.
D’ici avril prochain, Seine-et-Yvelines Numérique, qui a mis en place une plateforme de services numériques mutualisés, proposera aux collectivités territoriales yvelinoises et alto-sénaquaise une offre dédiée à ce risque. Pour en savoir plus, contacter : Stéphane Thomin, directeur du développement chez SYN : sthomin@sy-numerique.fr.
Le risque numéro 1
« La sécurité est encore envisagée sous l'angle physique, alors qu'aujourd’hui le danger principal pour les collectivités, c’est le cyber-risque ». Comme l’a rappelé Christophe Gomart, directeur de la sécurité, des risques et du management de crise pour Unibail-Rodamco-Westfield, le nombre de cyberattaques a été multiplié par quatre en 2020 sur le territoire national. Ces données ont été confirmées en 2021, 10 000 entreprises ayant été victimes de piratage. Et le cyber-risque devrait continuer à progresser, notamment du fait du télétravail, de la tendance à l’externalisation, et de la dépendance des entreprises au numérique pour innover.
« La menace numéro 1 reste le rançongiciel. Elle connait une montée en puissance, y compris sur les petites collectivités. Cela devient une véritable industrie », a complété Julien Coulet, fondateur de la société experte en cybersécurité Excube, précisant qu’il était recommandé aux collectivités de consacrer 5 à 10 % de leur budget à la cybersécurité. Pour lui, l'efficacité d’un dispositif réside dans l’organisation mise en place pour prévenir les cyber-risques et la sensibilisation des collaborateurs aux bons réflexes en matière de de sécurité digitale.
