Cyberattaque de collectivités : la réponse de l’État en question

Après les départements de Seine-Maritime, des Alpes-Maritimes, de Seine-et-Marne et la Guadeloupe, la région Normandie doit à son tour affronter un rançongiciel. Le cryptovirus s’est déclenché dans la nuit du 8 au 9 décembre, mettant à l’arrêt son site internet et des centaines de machines. L’attaque a conduit l’assemblée délibérante à revenir au papier pour sa dernière réunion de l’année faute d’un système d’information fonctionnel. "Elle paralysera l’ensemble de notre collectivité pendant plusieurs semaines", a alerté son président, Hervé Morin, sur Twitter le 12 décembre. Quelques jours avant, c’est le centre hospitalier de Versailles André-Mignot qui était paralysé, obligeant le déclenchement d’un plan blanc, la déprogrammation de certaines opérations et le transfert de plusieurs patients vers d’autres hôpitaux. 

Parcours cyber inachevé

Il ne se passe désormais pas une semaine sans qu’il y ait une attaque ciblant une grande ou une petite collectivité. Plus inquiétant encore, plusieurs victimes, et notamment la ville de Caen et le CHU de Corbeille-Essonne, faisaient partie des entités ayant bénéficié d’un parcours cyber de l’Anssi. "Le logiciel de détection d’incidents a permis à la ville de Caen de limiter l’impact de l’attaque", a tenté de rassurer Jean-Noël Barrot à l’occasion de la présentation du "bouclier cyber" début novembre (voir notre article du 16 novembre 2022). Le dispositif, doté de 30 millions d’euros, doit financer des audits de TPE/PME sensibles mais aussi augmenter de plus d’une centaine le nombre de collectivités bénéficiaires d’un parcours cyber de l’Anssi et de mettre en place 50 parcours "renforcés". Encore faut-il qu’après le diagnostic, les entités mettent en œuvre la totalité des recommandations, les collectivités devant notamment faire face à un manque de compétences cyber.

Petites collectivités exclues

Les petites collectivités passent par ailleurs largement au travers du filet de protection mis en place par l’État même si un bouquet de services sécurisés leur étant destiné est promis pour fin 2023. Plusieurs parlementaires, comme la député Patricia Lemoine ou le sénateur Guillaume Chevrollier, ont déposé des questions au gouvernement sur ce sujet. Frédéric Valletoux, député maire de Fontainebleau, déplore dans une question déposée le 21 novembre le sort de ces "petites ou moyennes communes insuffisamment préparées" à ce type d'attaque alors même que "les conséquences peuvent être irréversibles". Plusieurs villes victimes de rançongiciels ont perdu définitivement leurs données. Le député estime que les 136 millions d'euros du plan France Relance consacrés à la cybersécurité sont "insuffisants". Il invite à "réfléchir davantage sur la sensibilisation et sur la formation à la cybersécurité, et sur les moyens à disposition des collectivités pour lutter contre ces actes de malveillance".

Dimension géopolitique

À l’Avicca, on s’interroge sur le calendrier des attaques et les motivations véritables de leurs instigateurs. "Il y a trop de similitudes, trop d’attaques en France comme à l’étranger de collectivités et d’équipements publics dont on sait bien qu’aucun ne paiera jamais de rançon, pour ne pas y voir une offensive généralisée et durable contre notre souveraineté et le bon fonctionnement de nos institutions", s’est inquiété son président, Patrick Chaize, en ouverture du dernier colloque de l’association. Le sénateur appelle à "une réponse nationale d’ampleur" face à ce phénomène. Il rejoint les conclusions du rapport annuel sur les cybermenaces, publié début novembre par le gendarme européen de la cybersécurité. L’agence de l'Union européenne pour la cybersécurité (Enisa) note en effet que la guerre en Ukraine "a changé le paysage des cybermenaces", avec de plus en plus d’attaques à visée géopolitique. Elle note que les entités publiques représentent un quart des cyberattaques entre juin 2021 et juillet 2022, avec un impact très significatif sur leur réputation du fait, notamment, de la fuite de données personnelles. Elle déplore aussi la baisse des investissements des entreprises chargées de services essentiels, passés de 10 millions d’euros en 2020 à 4 millions en 2021.

La Lopmi en cause ?

Du côté des experts, on pointe la responsabilité possible de la loi d’orientation sur la sécurité intérieure (Lopmi) tout récemment adoptée. Son article 4 ouvre en effet la voie à l’assurabilité des rançongiciels, sous réserve que les victimes portent plainte dans les 72h après détection de l’incident. Une disposition – adoptée contre l’avis de l’Anssi qui invite à ne surtout jamais payer la rançon, comme le relève le Sénat dans son analyse des crédits cyber de la loi de finances pour 2023 – que les cyberattaquants auraient interprétée comme un gage de solvabilité des victimes françaises. Une tribune signée par plusieurs parlementaires dans les Échos note cependant que les assurances ne couvriront que des structures en mesure de prouver qu’elles respectent les bases en matière d’hygiène informatique. Ce qui ramène à la question de l’affectation de moyens à l’accompagnement des petites structures pour faire face aux risques cyber.