Alliancy

Cyber : Quand les collectivités locales transforment la crise en levier de transformation 

Cyber Collectivités territoriales

Les collectivités locales sont parmi les cibles privilégiées des cyberattaquants, en raison d’une maturité parfois faible en matière de sécurité. Pourtant, les incidents cyber ne sont pas sans conséquences, mais peuvent susciter le déclic attendu chez les dirigeants ou élus. 

Il y a maintenant deux ans, le département de Seine-et-Marne (77) était paralysé par une cyberattaque qui bloquait l’ensemble du système d’information (SI). « Les attaquants ont eu le temps de tout crypter », se souvient Christine Bertrand, directrice des systèmes d’information et du numérique (DSIN) du département. Et pour cause, la période des vacances scolaires a ralenti la réactivité des équipes, alors qu’une transformation de l’infrastructure débutait au sein de la collectivité. 

Priorité : stopper l’hémoragie 

Mais par où commencer pour remettre sur pied le SI après un blocage total ? C’est la question que s’est posée la DSIN du 77. « Nous avions peur de tout rouvrir trop vite et de nous faire attaquer à nouveau », confie Christine Bertrand. Il a ainsi été décidé d’héberger à l’extérieur les applications gérant la paie, les finances et les aides sociales, et de remettre en place la communication par messagerie. 

« Pour la suite, nous avons décidé de transformer cette épreuve en opportunité », indique-t-elle, à travers une migration vers le cloud, étape par étape, et une refonte totale de la cybersécurité, notamment avec la mise en place d’un service de détection et de réponse pour les terminaux (EDR). « Nous avons également remplacé tous les PC par des portables et fermé le SI le week-end », pour éviter un nouvel incident en l’absence de la majorité des employés. 

Plus au sud, l’Ardèche (07) a également subi les assauts des cyberattaquants en 2022. « Nous avons découvert, de fil en aiguille, que le serveur était corrompu et que des PC étaient infectés », raconte Maxime Chevry, directeur du numérique du département. « Nous avons coupé tous les accès internet pour s’isoler et évaluer les dégâts. » 

Il aura fallu près de trois mois pour rétablir l’informatique, grâce à une segmentation des réseaux, la mise en place d’une politique de mots de passe très stricte et de droits d’accès restreints. « Ce bastion d’administration permet de limiter le périmètre d’intervention des attaques », explique Maxime Chevry. « Nous avons également ajouté un SOC (Security Operations Center) et un EDR pour superviser tous les postes. » 

Ce socle que représente l’IT d’une collectivité était indispensable pour assurer les priorités de l’Ardèche, notamment le paiement des agents et le versement des allocations sociales, dont le RSA (Revenu de Solidarité Active). « Nous devions remettre en service les différents serveurs essentiels », précise le DSN du 07. 

Un déclic aux conséquences multiples 

Mais au-delà de l’impact opérationnel, les équipes des directions des systèmes d’information et du numérique peuvent également ressentir un impact personnel. « Une cyberattaque est violente pour les équipes, et c’est souvent sous-estimé », confie Christine Bertrand. « Il y a un sentiment de culpabilité », poursuit-elle, alors que certains membres de l’équipe IT de la Seine-et-Marne ont quitté la collectivité après l’incident. « Nous avons dû recruter pour renforcer les effectifs et réorganiser la DSIN. » 

Cette violence peut aussi servir de déclencheur au sein de n’importe quelle structure. En Ardèche, des premiers tests et un rapport d’actions avaient été émis en lien avec l’Anssi (Agence nationale de la sécurité des systèmes d’information) avant que l’attaque ne survienne. Cependant, Maxime Chevry regrette que ce déclic n’ait pas eu lieu plus tôt, notamment au sein de la direction générale et chez les élus. « Après l’attaque, nous avons enfin eu les moyens nécessaires pour agir. C’est malheureux d’en arriver là », déplore-t-il. C’était également le cas en Seine-et-Marne : « Ce fut un choc, et la transformation n’aurait pas été aussi rapide sans cette attaque », confie Christine Bertrand. 

L’importance de l’aspect humain et de la formation 

Toutefois, cette prise de conscience des décideurs ne doit pas se limiter aux aspects financiers. « On peut allouer tous les moyens possibles, si l’humain ne suit pas les règles, cela ne fonctionnera pas », indique Maxime Chevry, qui estime que la direction générale doit aussi s’impliquer dans la mise en œuvre des bonnes pratiques en matière de sécurité. 

Pour renforcer cet aspect humain et impliquer tous les collaborateurs dans la dynamique de cybersécurité, « il faut éduquer les utilisateurs à travers des méthodes ludiques », souligne la DSIN de Seine-et-Marne. Outre les campagnes de phishing ciblant les boîtes mail des employés, le département a mis en place les « Mardis de la sécurité ». 

Une fois par mois, des webinaires sont organisés, dont les liens sont disponibles sur toutes les fiches de paie des employés. Pendant le Cybermoi/s, chaque année en octobre, la cybersécurité se transforme en art martial. « Nous réalisons des entraînements pour sensibiliser les agents aux bonnes pratiques, aussi bien sur le plan professionnel que personnel », explique Christine Bertrand, qui insiste : « C’est un aspect très important pour nous. Nous avons fidélisé nos équipes autour de ces initiatives. » 

La perception des risques 

En effet, l’un des principaux risques est la méconnaissance des impacts potentiels d’une cyberattaque. « Les risques ne sont pas clairement identifiés », assure le directeur du numérique de l’Ardèche, qui compare cette situation à celle d’autres acteurs critiques comme les hôpitaux ou les services départementaux d’incendie et de secours (SDIS). « Ces derniers sont perçus comme plus critiques par la population, à l’instar d’entreprises privées qui pourraient faire faillite en cas d’attaque. » 

Aujourd’hui, l’Ardèche souhaite mettre cette expérience à profit pour ses homologues au sein d’autres collectivités. « Après l’attaque, nous avons participé à un retour d’expérience organisé par l’Anssi », précise Maxime Chevry. « Nous encourageons également l’Anssi à sensibiliser les élus, afin qu’ils ne réduisent pas le budget DSI à la va-vite », poursuit-il, alors que l’Ardèche fait partie, comme une centaine d’autres départements, régions ou municipalités, de l’association du CoTer numérique. 

Quitter la version mobile