Ingérence économique et piratage pendant la crise sanitaire : les systèmes informatiques des collectivités durement frappés

À la suite des mesures de confinement décidées par une grande majorité des pays du monde, le télétravail s’est révélé être la solution afin de maintenir la continuité d’activité des entreprises privées et de l’administration publique. Enfermés chez eux, les salariés et les agents ont dû adopter en quelques jours de nouvelles modalités de travail dématérialisées. Parfois prévu pour quelques-uns, rarement généralisé, le télétravail nécessite une organisation informatique capable de protéger les données et les systèmes. Dans l’urgence, ils ont été nombreux à utiliser des applications de visioconférence ou de partage de documents non sécurisés, souvent sur les ordinateurs ou téléphones personnels, ouvrant ainsi la porte aux attaques informatiques. La situation est suffisamment alarmante pour que la direction du renseignement intérieur (DGSI) se fende d’une note à destination des entreprises et des administrations afin de les mettre en garde.

Anne Le Henanff, maire adjointe au numérique, à la défense et à la mémoire de la ville de Vannes depuis 2008 et vice-présidente de Villes Internet, répond à nos questions sur le sujet.

Villes Internet : Comme vous le rappelez souvent, vous n’êtes pas informaticienne, ni même technicienne du numérique, comment vous êtes-vous intéressée au sujet de la cyber sécurité ?

Anne Le Henanff : j’ai décidé de m’engager sur ces problématiques à la suite d’une attaque de « rançongiciel » contre la ville de Vannes [logiciel malveillant qui prend en otage des données personnelles – NDLR]. À l’époque, j’étais très engagée sur la dématérialisation et le développement des usages numériques, et ce, d’autant plus que l’État nous poussait à la dématérialisation de la chaîne comptable, des actes d’urbanisme, des marchés publics, etc …. Nous nous étions alors lancés dans une course au numérique où tout était possible. Jusqu’au jour où on a subi une attaque, en février 2016. Ce jour-là, la directrice des systèmes d’information (DSI) Muriel Raimbault m’a dit : « nbsp;Nous en avons subies d’autres par le passé que nos services ont gérées , il n’était pas utile de vous inquiéter, mais là je vous en parle, car cete fois on a peut-être frôlé la catastrophe. » J’ai alors compris que mon rôle n’était pas seulement de développer notre système informatique, il était aussi de veiller à ce qu’il soit bien protégé. On a donc décidé de cesser tous projets de développement, comme l’Open data par exemple ou la smart city. Cela nous a permis de nous consacrer totalement à un projet : empêcher l’accès au réseau par l’extérieur. Il s’agissait de remettre à niveau la sécurité numérique de la ville, mais également de monter en compétence et de sortir cette responsabilité de la DSI. Avec l’arrivée du RGPD, nous pouvions sensibiliser la direction générale et le maire en leur disant que la protection des données était de leur responsabilité. On s’est alors lancés sur ce chantier de 3 ans.

Et j’ai décidé, avec l’accord du maire de Vannes, de témoigner et de raconter notre attaque pour sensibiliser mes collègues des autres communes aux risques d’attaques cyber dans les collectivités locales et partager notre expérience.

Quelles ont été les conséquences de cette prise de conscience pour la ville de Vannes ?

 La clé d’une bonne sécurité numérique, c’est l’humain. C’est l’humain qui fait la différence. Nous avons donc fait des formations obligatoires — y compris pour les personnes qui ne travaillaient pas sur un ordinateur comme les jardiniers par exemple — afin que tout le monde soit sensibilisé à la question. Et en cette période de confinement et donc de télétravail, nous observons que ça fonctionne. 280 agents sont en télétravail, nous subissons des attaques tous les jours depuis deux mois, mais aucune n’est parvenue à ses fins.

Si la ville de Vannes est bien armée face à la cybermenace, plusieurs villes ont été attaquées par le biais du télétravail des agents pendant le confinement. Quelles formes prennent ces attaques ?

 La brigade numérique de la gendarmerie nationale ou cybermalveillance.Gouv.fr ont en effet noté une recrudescence des attaques depuis mars 2020. Dans l’environnement des collectivités territoriales la plus fréquemment utilisée est la demande de rançon ou rançongiciel. Elle est facile et relativement simple pour eux : l’envoi d’un mail que l’agent est invité à cliquer. Cela permet de faire entrer un virus qui bloque les systèmes d’informations, les postes de travail. Pour récupérer la main, il est demandé de payer une rançon. Les sites Internet peuvent également devenir des portes d’entrée pour les pirates. Les entreprises peuvent aussi faire face à d’autres types d’arnaques, telles que l’arnaque au Président ou le cyber-attaquant se fait passer pour un dirigeant pour donner de faux ordres de virements à des collaborateurs .

Pour les collectivités, le montant des rançons est souvent assez bas pour inciter les communes à payer plutôt que de risquer de perdre toutes leurs données ou de ne pas reprendre la main sur leurs systèmes. Malheureusement, cela arrive que même s’ils payent, l’attaquant ne leur transmette pas la « clé ». Dans ce cas, on vous a volé vos données, on a bloqué vos systèmes, vous payez, et on ne vous rend pas vos données ou la maîtrise de vos systèmes.

 Quels conseils donneriez-vous à vos homologues dans les autres collectivités qui subissent des attaques ?

 Il ne faut pas payer la rançon, débrancher immédiatement les ordinateurs infestés et aller voir directement la gendarmerie ou la Police nationale. Ensuite, c’est aux informaticiens , en interne ou via le prestataire extérieur, de récupérer les sauvegardes pour restaurer les données de la communes et le système d’informations. Et pour se protéger des attaques, c’est l’humain qui est le meilleur allié des communes pour lutter contre les intrusions. C’est lui qui cliquera sur le mail malveillant par inadvertance s’il n’est pas sensibilisé. Tout passe donc par la formation des agents territoriaux et la prévention. Dans le doute, on ne clique pas.

 Au-delà du strict confinement qui devrait progressivement prendre fin à partir du 11 mai, il semble nécessaire de réfléchir à l’organisation du télétravail et à la dématérialisation des procédures en toute sécurité. Vers qui peuvent se tourner les communes qui souhaitent aborder ce chantier ?

 Plusieurs acteurs publics se sont saisis de cette question : l’ANSSI,Cybermalveillance.gouv.fr, la Gendarmerie nationale, la police, les associations de collectivités, l’AMF . Le RGPD et l’augmentation des attaques cyber contre les communes ont accéléré la prise de conscience. Nous ne pouvons que nous en féliciter ! En termes d’accompagnement des petites communes, l’intercommunalité me semble être le bon échelon. Malheureusement, trop peu d’entre elles se sont encore appropriées ce sujet. Cependant il est toujours possible pour une commune d’appeler la nouvelle brigade numérique (BNum) de la gendarmerie nationale sur leur territoire. Celle-ci les guidera, les orientera ou les assistera sur les démarches à mettre en oeuvre, soit pour se protéger, soit pour réagir face à une attaque cyber. Chaque commune peut aisément faire un audit simple de son niveau de sécurité numérique par les acteurs publics du domaine ou plus poussés par des prestataires informatiques de leur territoire. 

 Quel message souhaiteriez-vous adresser à vos homologues ?

 Mon objectif est faire prendre conscience aux élus que la cyber sécurité n’est pas quelque chose d’inatteignable. C’est un enjeu, c’est une responsabilité, mais il ne faut pas en avoir peur. On ne demande pas aux maires d’être des spécialistes de la sécurité numérique, mais d’avoir une vision politique du sujet et de prendre des décisions. Ce sont les techniciens et les experts qui mettront en oeuvre.

Pour aller plus loin :

• • Guide de l’ANSSI  sur la cybersécurité dans les collectivités, publié en janvier 2020.
  • Les recommandations de sécurité de l’ANSSI à destination des collectivités territoriales pour les aider à se protéger des attaques par rançongiciels
  • Détails sur l’attaque informatique par le rançongiciel Mespinoza/Pysa qui cible nos collectivités territoriales
  • Écoutez ou réécoutez l’épisode Ici, Demain à Vannes « Donner la donnée en toute sécurité », avec Anne le Hénanff, adjointe au maire de Vannes, Muriel Raimbault, directrice des systèmes d’information et Christelle Frossard, directrice du centre communal d’action sociale.
    

• Retrouvez l’entretien donné par Anne Le Henanff à Acteurs Publics

Voir l'interview sur Acteurs Publics TV

• Prenez connaissance du glossaire et des contacts utiles concernant la cybercriminalité