Les petites communes, maillon faible de la stratégie cybersécurité nationale
De plus en plus de petites communes se retrouvent victimes de rançongiciels avec des dégâts parfois très conséquents. Venus témoigner devant le Sénat, les élus ont déploré un "ruissellement qui ne marche pas" malgré les moyens affectés par l’État à la cybersécurité. Et si la mutualisation fait partie des solutions, la question du bon niveau pour agir fait toujours débat.
Si La Rochelle (voir le retour d’expérience) a pu éviter le pire grâce à ses sauvegardes, ce n’est pas le cas de Villers-Saint-Paul (6440 hab.). Le récit qu’en a fait Alexandre Ouzille, maire adjoint de cette commune rurale de l’Oise, devant les sénateurs de la délégation aux affaires économique le 28 octobre 2021 a de quoi faire réfléchir ces élus qui considèrent que la cybersécurité n’est pas un dossier prioritaire.
Six mois pour ressaisir les données perdues
"Nous avions pourtant deux serveurs dans des locaux différents mais, s’ils nous protégeaient du risque incendie, ils ont été inefficace contre le rançongiciel qui nous a infectés." Les attaquants, après avoir réussi à prendre la main sur le logiciel de télémaintenance, ont crypté l’intégralité des données des deux serveurs. Finances, ressources humaines, services techniques… la mairie s’est retrouvée totalement à l’arrêt, obligée d’éditer la paie manuellement en "mimant" les données de la dernière feuille de paie. Un bricolage qui a duré six mois, le temps que deux agents à temps plein ressaisissent l’intégralité des données "car on ne pouvait pas faire travailler un stagiaire sur des données aussi sensibles". Bilan de l’attaque : 50.000 euros pour remettre d’aplomb le système informatique dont "seulement 13.000 pris en charge par l’assurance". Comme dans la plupart des petites collectivités, l’informatique était gérée par un prestataire avec l’appui d’un agent de la bibliothèque affecté à cette mission parce qu’il était un peu "bidouilleur". Le prestataire, chargé de la maintenance et du support utilisateur, a été remercié par la mairie car il s’avère que la faille logicielle exploitée par les cyberdélinquants était connue depuis plusieurs mois.
Les petites communes oubliées du plan de relance
À Chartres, Richard Lizurey, maire adjoint en charge de la sécurité, pointe "la très grande diversité des situations" entre la métropole et une ville-centre disposant de ressources informatiques – mais pas de responsable à la sécurité des systèmes d’information (RSSI) - et de toutes petites communes où la culture cyber est inexistante. Une situation très préoccupante, car les petites communes représentent "le maillon faible" au sein d’un système administratif où communes, intercommunalités et départements sont de plus en plus interconnectés. Et si l’État a affecté 136 millions d’euros à la cybersécurité dans le cadre du plan de relance (voir notre article du 4 septembre) "le ruissellement ne s’opère pas". Car comme la confirmé Gwenaëlle Martinet de l’Anssi, 500 collectivités au mieux seront aidées par l’agence (370 sont actuellement prises en charge), l’agence faisant de l’existence d’un RSSSI constituant "un préalable car il nous faut quelqu’un à qui parler". L’empilement des dispositifs est par ailleurs décrié par l’élu chartrain : "Nous avons une multitude d’interlocuteurs avec l’Anssi, Cybermalveillance, la gendarmerie mais on a bien du mal à savoir à qui s’adresser." Idem pour sélectionner les prestataires qui harcèlent les collectivités sans que les élus sachent sur quels critères les sélectionner.
Priorité à la sensibilisation
Si Cybermalveillance a rappelé que le recensement des prestataires qualifiés était dans ses missions, plusieurs intervenants ont mis en garde contre les approches par trop "solutionnistes". "Efficace aujourd’hui, rien ne dit qu’un dispositif technique de protection le sera demain, car les risques évoluent très rapidement", a fait valoir Marc Boget, commandant de la gendarmerie dans le cyberespace. Et avant de choisir une solution, l’urgence est de convaincre les décideurs d’y affecter des moyens. Or la conscience du risque et le respect des règles de base de l’hygiène informatique restent faibles. Les simulations d’attaques par phishing - extorsion d’informations personnelles via un mail ou SMS usurpant une identité - réalisées par plusieurs départements ont par exemple révélé que "40 à 60% des destinataires avaient cliqué sur le lien vérolé", a expliqué Virginie Langlet de l’ADF. Et même lorsqu’il existe un RSSI dans la collectivité, "on nous interdit de parler aux élus et aux DGS", a déploré Cyril Bras, à la tête de l’association des RSSI de collectivités.
Pas de solution miracle
Face à ce désarroi, les pistes pour aider les petites communes à faire face aux risques cyber restent très embryonnaires. Faut-il bâtir la stratégie de cybersécurité à l’échelle de l’intercommunalité comme l’a fait (avec succès) Villers-Saint-Paul ? "Chez nous, les intercommunalités n’en ont pas les moyens, il faut gérer cette question au niveau du département", a souligné Franck Montaugé, sénateur du Gers. Les syndicats informatiques sont-ils pour autant la solution ? "Ils ne peuvent à la fois proposer des logiciels métiers, exercer la mission de délégué à la protection des données personnelles et celle de RSSI", a pointé Marie Nedellec, élue à la ville de La Rochelle. À l’AMF, on pousse surtout à ce que la cybersécurité soit intégrée aux plans communaux de prévention des risques "avec tous les exercices et simulations qu’ils impliquent", a souligné Marie-Laure Pezant en charge du dossier à l’association. Cyril Bras a de son côté appelé à une refonte du profil métier des RSSI, jugé "obsolète", la compétence communication étant au moins aussi importante que la compétence technique. Le commandant Boget a pour sa part incité les communes à répondre au questionnaire "Immunité Cyber" - neuf questions simples pour évaluer le niveau de préparation de la collectivité aux risques cyber - susceptible de déboucher sur un accompagnement de l’unité CyberGend. Il a aussi appelé les élus à porter plainte dès l’attaque, "car trois semaines après ça ne sert à rien car il n’y a plus aucune trace pour tenter d’appréhender ses auteurs". Quant à Cybermalveillance, le GIP a annoncé une nouvelle vidéo sur les bons réflexes en cas de cyberattaque. Car même avec la stratégie cyber la plus aboutie, aucune collectivité n’est à l’abri.