Parce qu’elles manipulent de nombreuses données personnelles et sensibles sur leurs administrés et qu’elles ont de forts enjeux de continuité de service public, les cyberattaques visent de plus en plus de collectivités. Des grandes métropoles aux plus petites mairies, comment faire face à ces menaces ? État des lieux.
Certains experts en cyber considèrent que la cyberattaque contre la ville de Baltimore aux États-Unis en mai 2019 est un événement marquant des menaces cyber contre les collectivités. Les montants de rançon et de remédiation élevés, la couverture médiatique ou encore le volume de postes concernés, le cas avait en effet marqué les esprits. Et semble avoir fait appel d’air, puisque les exemples se multiplient depuis, à une échelle mondiale.
Cyberattaques et collectivités : une menace à l’échelle internationale
Selon une étude de 2020, 44% des attaques de ransomwares visaient des municipalités. Des attaques par ransomwares qui se complexifient encore pour les victimes. En septembre 2020, des cyber-criminels mettaient en ligne 20 gigaoctets de données volées à la métropole d’Aix-Provence-Marseille. S’y trouvaient des noms d’agents et leurs matricules, ou encore deux fichiers avec 23 000 adresses électroniques associées à des noms. Une fuite de données sensibles qui a mis un coup de projecteur sur une nouvelle forme d’intimidation, qui consiste à menacer de faire fuiter les données pour pousser au paiement d’une rançon.
Et la menace est mondiale. En juillet 2021, l’administration du district d’Anhalt-Bitterfeld, en Allemagne, avait été contrainte de ressortir ses fax du placard après une cyberattaque. En Italie, c’est toute la région du Latium qui était impactée au mois d’août, quand un ransomware avait paralysé le data center régional, rendant notamment indisponible la plateforme de réservation pour la vaccination anti-Covid. Du côté des États-Unis, les exemples sont légion. En septembre 2021, le Washington Post n’hésitait d’ailleurs pas à titrer Les ransomwares sèment le chaos sur les villes américaines. De la police de Washington aux écoles du comté de Fairfax, la tendance semble bien installée et touche même les établissements pénitentiaires. Ainsi, en janvier 2022, une prison du Nouveau-Mexique était visée par une cyberattaque, mettant hors service caméras et portes automatiques.
« Il y a une explosion des attaques par ransomware, confirme Vincent Nicaise, Responsable des partenaires et de l'écosystème industriels chez Stormshield. D'autant plus que certaines collectivités opèrent tant des infrastructures IT classiques que des infrastructures OT, plus sensibles – comme le montre l'exemple de la cyberattaque au Nouveau-Mexique. » Pourtant, communautés de communes et autres mairies ne sont pas connues pour leur trésorerie abondante. Pourquoi alors les cibler ? Pour Philippe Loudenot, administrateur du CESIN, délégué cybersécurité au Conseil régional des Pays de la Loire, ancien fonctionnaire Sécurité des Systèmes d'Information (FSSI) au sein des ministères sociaux, il s’agit le plus souvent d’attaques opportunistes. Mais constituant une menace directe sur le bon fonctionnement des services publics, les cyberattaques impactant les collectivités locales méritent de s’y intéresser.
Le service public mis à mal par les cyberattaques
Si la cybersécurité des collectivités est aussi importante, c’est donc parce qu’une cyberattaque visant une collectivité peut avoir des conséquences diverses, à chaque fois désastreuses. Philippe Loudenot en distingue cinq.
La mise en péril de la continuité du service public, propre aux administrations. Les collectivités dépendent en effet de leurs systèmes informatiques pour administrer un vaste champ de missions, de la cantine scolaire aux réseaux de transports en passant par l’action sociale. Sans accès à leurs données, ces missions sont interrompues ou fortement dégradées.
La fuite, le vol ou la perte de données personnelles est également à considérer, puisque les collectivités ont accès à des données sensibles concernant leurs administrés. Ainsi en mai 2021, des cyber-criminels ont diffusé les données de 1 000 agents du Grand Annecy, dont leurs résultats de tests Covid et leurs coordonnées personnelles, cinq mois après une attaque sur le système informatique de la communauté d’agglomération. En août 2021, c’est le site français de demandes de visa qui était attaqué de la sorte.
La perte de patrimoine informationnel est un autre risque propre aux collectivités. En plus des données qui concernent leurs administrés, « les collectivités sont détentrices d’un patrimoine informationnel important », fait savoir Philippe Loudenot, comme par exemple les données d’état civil, sociales, finances et taxation, etc. En cas de destruction ou de mise à mal de l’intégrité de ces données, la collectivité risque de perdre une partie de son histoire.
L’impact sur l’image de la collectivité est également une conséquence importante. Une cyberattaque, si elle est connue des administrés, pourra avoir un impact négatif sur la confiance des citoyens en la collectivité et ses services. Et ce d’autant plus en période d’élections locales…
Enfin, le risque juridique est à prendre en compte. En cas de faute avérée dans la protection des données personnelles, la collectivité s’expose à des sanctions de la part d’instances étatiques mais aussi des poursuites judiciaires de la part des administrés eux-mêmes.
La bourse ou la vie publique
Au niveau de la répartition des menaces, et selon un rapport du Clusif de 2020, une association française dédiée à la sécurité informatique, 30% des collectivités se déclaraient victimes d’un ransomware. Un chiffre à prendre avec du recul tant les cyberattaques passent souvent sous les radars : plus de la moitié des collectivités interrogées affirmaient ne pas communiquer dessus. En 2021, le journal LeMagIT tenait un décompte des villes françaises touchées par un ransomware. Au total, une soixantaine, dont Mitry-Mory, Chalon-sur-Saône, la communauté de communes de l’Est lyonnais, Douai, Villepinte, Erstein, Istres, ou encore Annecy. Comme le précise l'ANSSI dans un guide dédié, toutes les communes et intercommunalités sont concernées.
Les rançons demandées peuvent être très variables, mais il faut aussi prendre en compte les coûts indirects liés à une attaque
Philippe Loudenot, délégué cybersécurité au Conseil régional des Pays de la Loire
Au niveau des montants des rançons, ceux-ci s’élèvent en moyenne à 836 000 dollars aux États-Unis, contre 130 000 euros en France selon l’ANSSI. « Les rançons demandées peuvent être très variables, mais il faut aussi prendre en compte les coûts indirects », souligne Philippe Loudenot. Car le versement d’une rançon n’est pas la seule perte qui peut être imputée à une cyberattaque. La ville de Chalon-sur-Saône et l’agglomération du Grand Chalon ont par exemple déboursé 550 000 euros pour remettre leurs systèmes informatiques sur pied après une cyberattaque en février 2021. La collectivité n’a pas fait état de paiement de rançon, la somme ayant été entièrement dirigée vers la remédiation – soit la récupération des données et la remise en route du système. Concrètement, cela s’est traduit par la mise en place de nouvelles procédures et par des recrutements pour renforcer les équipes chargées des infrastructures réseaux, des projets techniques et des systèmes de sécurité. Philippe Loudenot évoque également les coûts liés aux salaires versés aux employés au chômage technique ainsi que les coûts de communication nécessaires à la bonne information des administrés. Enfin, les cyber-merdes volant en escadrille, d’éventuelles sanctions peuvent être envisagées si des fautes sont relevées dans la protection des données personnelles : « même si la Commission nationale de l'informatique et des libertés (CNIL) est plutôt dans une logique d’accompagnement ».
Vecteurs de risque et surface d’attaque des collectivités
Une logique d’accompagnement nécessaire à tous les niveaux, tant la surface d’attaque des collectivités locales est étendue, du fait de plusieurs points de fragilité. Aux origines de cette fragilité, un manque certain de budget alloué aux questions de cybersécurité : la plupart des collectivités françaises consacrent moins de 10% de leur budget à la cybersécurité, taux recommandé par l’ANSSI.
Une première conséquence directe : les sources d’infections sont souvent liées au facteur humain. Rien de révolutionnaire ici tant les agents sont régulièrement exposés au phishing. Et l’effort de pédagogie, entre sensibilisation à l’hygiène numérique et formation à la cybersécurité, reste encore à ce jour trop faible.
Un manque de budget qui ouvre également une autre porte d’entrée potentielle aux cyber-criminels avec des postes de travail vieillissants, qui utilisent des systèmes d’exploitation obsolètes souvent en retard en matière de mises à jour. Et le champ à couvrir et protéger est en perpétuelle extension : les collectivités locales ont équipé leurs agents en smartphones, tablettes et PC portables. Autant de portes d'entrées additionnelles avec ces flottes d’appareils connectés dont les mots de passe sont souvent peu sécurisés, parfois affichés dans les bureaux, et que les agents ne modifient que très rarement.
Les réseaux informatiques (et opérationnels) que gèrent les collectivités sont un des autres points de fragilité. En cause, des systèmes souvent à plat, sans segmentation réseau, et donc sensibles aux attaques latérales. Une cyberattaque contre un des services de la collectivité peut donc contaminer les autres, « grâce » à leur interconnexion. Et une fois implanté, le malware peut rester en sommeil pendant un moment, avant d’être activé au moment le plus opportun par les cyber-criminels, comme du côté de Gloucester au Royaume-Uni, touché en janvier 2022.
Autre point de vulnérabilité : l’attaque malveillante interne, soulève Philippe Loudenot, qui évoque « une curiosité malsaine qui pousserait un agent à accéder à des informations confidentielles » ou encore un ancien agent mécontent, dont les accès aux systèmes informatiques n’ont pas été révoqués.
Cybersécurité des collectivités : des solutions à long terme
Menacées de l’intérieur comme de l’extérieur, les administrations sont-elles donc condamnées à subir des vagues d’attaques incessantes ? Si une certaine lourdeur administrative peut empêcher l’adaptation et la flexibilité nécessaires à une meilleure protection face aux risques cyber, il existe toutefois des solutions. En France, les cyberattaques visant les collectivités sont du ressort conjoint de l'ANSSI et du département de cybercriminalité de la gendarmerie nationale. En cas de ransomware, les recommandations de ces institutions demeurent classiques, précise Philippe Loudenot : « ne pas payer la rançon afin de ne pas encourager les futurs cyber-criminels, déposer plainte et faire remonter l’information ».
Mais l’adage « mieux vaut prévenir que guérir » s’applique aussi en l’espèce. Il faut donc surtout que les collectivités modifient leur approche globale en matière de cybersécurité. L’objectif ? Revenir à la mise en place d’une protection à long terme, qui passe par une série de mesures.
La sensibilisation en est la plus évidente. « Il faut mettre tout le monde à niveau sur les gestes de base d’hygiène numérique », explique Philippe Loudenot. Mettre en place des mots de passe robustes, les changer régulièrement, ne pas les laisser traîner sur des post-it sur son bureau, se méfier des liens reçus… Des réflexes simples (basiques) mais qui restent encore à intégrer, reconnaît Philippe Loudenot. « On en est encore loin, déplore-t-il. Le discours est tronqué car on parle essentiellement des menaces et les collectivités ne se sentent pas touchées. Il faut parler des impacts. Cela touche tout le monde de savoir qu’on ne sera pas capable d’assurer la continuité de son service public. » Pour l’expert, il faut transformer la perspective : « ce n’est pas ‘si’ mais ‘quand’ une collectivité se fera attaquer. Qu’est-ce que l’on met en place ? Quelles manières alternatives de travailler ? ». Un retard de sensibilisation que remarque également Vincent Nicaise. Il souligne que dans le cadre du programme France Relance, l’État français peut prendre en charge jusqu’à 100% du diagnostic au sein d’une collectivité afin que celle-ci fasse le point sur son niveau et ses besoins. Et pour aller plus loin, de nombreux guides pratiques ont enfin été édités par le gouvernement autour de la cybersécurité des services publics. Tout début 2022, l’Agence nationale de la cohésion des territoires (ANCT) s’est associée à Cybermalveillance.gouv.fr, la Gendarmerie nationale et l’Association des maires de France (AMF) pour organiser un webinaire d’information, de prévention et de solutions pour les collectivités locales.
Le discours est tronqué car on parle essentiellement des menaces et les collectivités ne se sentent pas touchées. Il faut parler des impacts. Cela touche tout le monde de savoir qu’on ne sera pas capable d’assurer la continuité de son service public
Philippe Loudenot, délégué cybersécurité au Conseil régional des Pays de la Loire
En parallèle de la sensibilisation, les collectivités doivent également mettre en place des solutions de protection adaptées. Solutions endpoint pour protéger les postes de travail, firewalls pour sécuriser les réseaux, solutions de chiffrement pour assurer l'intégrité des données, les outils sont divers et variés. Mais elles viennent forcément avec un certain coût. En France, l’ANSSI a pris conscience de ces enjeux depuis plusieurs années et avait déjà proposé un budget conséquent pour accompagner les collectivités, à hauteur de 60 millions d'euros sur 2021 et 2022. En ce début d'année 2022, les premiers bénéficiaires du programme France Relance arrivent à la fin du parcours de cybersécurité (sur la partie audit) et devraient accéder au plan de co-financement (jusqu’à 70%, dans le cadre du programme). Ainsi, 2022 devrait être (enfin ?) l’année de la sécurisation des systèmes.
Autre approche efficace : la mise en place d’un système de sauvegarde. Ainsi, la collectivité de Chalon-sur-Saône fait figure de bon élève : les sauvegardes automatiques de données effectuées à J-1 ont permis à la collectivité de remettre en route ses systèmes sans pertes de données à la suite de l’attaque subie en février 2021. Un système efficace qui « devrait systématiquement être mis en place, recommande Philippe Loudenot, mais c’est loin d’être le cas ».
Côté français, l’accent est également mis sur la constitution d’un réseau de référents locaux. Ce réseau s’appuiera sur des référents cybersécurité afin de rester à jour dans la connaissance des fragilités et alertes émises par l’ANSSI et le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques). La création d’un CSIRT régional (Computer Security Incident Response Team) est d’ailleurs en cours, en parallèle de l’annonce de la création d’un réseau de RSSI territoriaux, annoncée lors du FIC 2021. Enfin, il est également important de noter que le groupement d’intérêt public cybermalveillance.gouv.fr a mis en place un label Ville Cyber Responsable pour distinguer les villes engagées dans un plan d’action pour lutter contre les cyberattaques.
Autant d’initiatives qui font que « aujourd’hui, les élus prennent conscience que la cybersécurité de leurs collectivités n’est pas un non-sujet », estime Philippe Loudenot. Ça tombe bien, il y a du pain sur la planche.
