Cybersécurité, les collectivités locales mal en point

À une époque où toute activité, privée comme publique, tend à être dématérialisée et que le numérique avance à marche forcée, le champ d’action des pirates informatiques évolue dans le même sens et se trouve d’autant élargi. Si auparavant, la cybersécurité s’adressait principalement aux entreprises et aux structures gouvernementales hautement sensibles, elle est désormais l’affaire de tous. Les collectivités locales n’y échappent donc pas et spoiler, elles ne sont pas prêtes !

Collectivités cibles de cyberattaques

Très récemment, la municipalité d’Angers a été touchée par une attaque de type rançongiciel. La nuit du vendredi 15 janvier, des pirates ont accédé au compte Twitter de Christophe Bèche, le maire de la préfecture du Maine-et-Loire. Sa photo de profil a été changée par celle d’une main tatouée. Le samedi 16 janvier, tous les sites internet de la collectivité ont été assaillies probablement par les mêmes responsables. Dès lors, tout le système administratif informatisé de la ville a été perturbé. De l’accès aux locaux de la marie par l’intermédiaire des badges au site web de la municipalité, en passant par les services des bibliothèques municipales, les cybercriminels n’ont rien été épargné. Leur objectif : bloquer non pas tout le système mais ses points vitaux en échange d’une importante somme d’argent à régler en cryptomonnaie. L’ANSSI est sur le coup.

Dimanche 21 février, Chalon-sur-Saône a, à son tour, été victime d’une cyberattaque paralysant les SI de la ville et de l’agglomération du Grand Chalon. Si les sites web et les liaisons téléphoniques restent opérationnels, il n’en va pas de même pour les formulaires de services en ligne encore bloqués au moment de la publication de cet article, malgré la mobilisation de l’ANSSI, rapidement sollicitée pour accompagner la ville et l’agglomération sur le sujet.

Collectivités, du tout numérique à la cyberattaque  

Il semble s’agir d’une véritable tendance et malheureusement pas de cas isolés. Attaquées en 2020, les villes de La Rochelle ou de Marseille peuvent témoigner. De même que la ville de Lake City, en Floride, qui a payé 500000 dollars en bitcoins aux hackers pour récupérer ses données, tandis que Baltimore ou Atlanta ont préféré dépenser des millions de dollars pour reconstruire leur SI sans céder au chantage.

Une enquête concernant 202 collectivités territoriales françaises interrogées par le Clusif a soulevé que 30% d’entre elles ont été touchées par une attaque du même acabit et que seulement 35% chiffrent leurs données. Parmi les victimes, seulement 10% portent plainte et 53% ne font aucune déclaration sur le sujet. Ce silence généralisé n’aide personne dans la lutte contre la cybercriminalité, sauf les cybercriminels. Sans déclaration, il n’y a pas d’investigation et les risques de récidive restent élevés.

Il n’y a pas 36 solutions, il faut réagir et beaucoup communiquer pour contrecarrer ce fléau. Dans cette optique, le Conseil Départemental de la Gironde montre l’exemple. Le 29 janvier dernier, Mathieu Rouveyre et Jean-Luc Gleyze ont organisé une journée sur la cybersécurité. L’occasion de présenter l’initiative baptisée « Cybersécurité : la Gironde contre-attaque ». Au lieu de se défendre de manière passive, l’idée est d’adopter une posture plus offensive et plus engagée face à la cybercriminalité. Un centre de protection central pour les collectivités a été créé. Mathieu Rouveyre de signaler : 

« En 2020, nous avons purgé les systèmes d’information du conseil départemental de 5.000 malwares et bloqué 2 milliards de connexions dont les sources étaient non identifiées ».

L’Etat au chevet des collectivités en matière de cybersécurité 

De son côté, l’Etat, vient d’investir massivement pour la sécurisation des collectivités territoriales. Amélie de Montchalin, la Ministre de la Transformation et de la Fonction Publique a officiellement annoncé le financement des collectivités pour leurs transformations numériques. Ce financement se chiffre à 88 millions d’euros ! Parallèlement à cette enveloppe et en fonction de la taille de la collectivité, l’Etat a prévu des dispositifs d’accompagnement adaptés.

Il faut reconnaitre que le confinement a chamboulé le quotidien des entreprises et des administrations publiques. Le télétravail est subitement devenu une obligation pour la plupart des établissements. Pourtant, cette pratique était nouvelle pour la majorité des employeurs qui avaient alors l’impression de sauter dans l’inconnu. Une situation idéale pour les cybercriminels qui se sont empressés d’exploiter la candeur de certains salariés et l’inexpérience des établissements. Sans formation en bonne et due forme et sans investissements en poste de travail, les enjeux de la cybersécurité en télétravail étaient le cadet des soucis des néophytes.

Résultats : une explosion des cyberattaques en 2020. De 2019 à 2020, l’ANSSI a vu le nombre d’intervention passer de 50 à 200. Sachant que plus de la moitié des victimes ne font pas grand bruit de leurs expériences malheureuses, cette statistique est probablement bien en-deçà de la réalité même si l’on sait désormais que tous le monde, collectivités comprises, est concerné.

Articles récents