Les collectivités sont en première ligne face à la menace cyber, alors qu’il s’agit d’organisations qui n’ont pas encore tous les bons réflexes pour apprendre à se protéger. Heureusement les dispositifs se multiplient pour les aider. Tour d’horizon.
Le 1er mars dernier, la ville de Lille a connu une importante cyberattaque. Avec près de 3500 ordinateurs à l’arrêt et l’impossibilité de payer ses agents en direct, la collectivité a vu les difficultés se multiplier. Après un mois d’enquête, elle a eu la certitude que les données de ses agents et des élus municipaux avaient fuité. Puis environ une semaine plus tard, Lille a dû confirmer que « parmi les données personnelles volées se trouvaient bien des données appartenant à des citoyens ayant été en contact avec nos services ». Email, IBAN, numéro de téléphones… au total ce sont environ 2% de données des systèmes de la ville qui ont ainsi été subtilisées. Un petit pourcentage, mais un nombre colossal de données sensibles. Le groupe de cybercriminel Royal Ransomware qui a revendiqué l’attaque, prétend ainsi posséder 3,5 téraoctets de données. Si le coût de la cyberattaque est encore difficile à évaluer (il dépasserait quoiqu’il en soit un million d’euros), les contraintes opérationnelles sont, elles, bien visibles pour la collectivité, qui ne prévoit pas un retour à la normal avant le 1er septembre.
Lille n’est pas un cas isolé, même si son statut de grande ville a rendu ses déboires plus médiatiques.
L’association Déclic, réseau national de la mutualisation numérique pour les collectivités territoriales et établissements publics, qui regroupe une quarantaine d’opérateurs de services numériques en France, a recensé plus de 120 attaques sur les collectivités l’an dernier. Mais force est de reconnaître que ce n’est sans doute que la face émergée de l’iceberg.
Comme des lapins dans les phares d’une voiture
Dans son Panorama de la cybermenace 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) note d’ailleurs « qu’une multiplication des cas d’attaques par rançongiciels est observée depuis l’été 2022, particulièrement à l’encontre des collectivités territoriales ». Or, seules 12% des collectivités interrogées par le Labo Société Numérique, rattaché à l’Agence nationale de la cohésion des territoires (ANCT), déclaraient en 2021 être bien préparées face aux menaces.
« Les collectivités sont comme des lapins dans les phares d’une voiture » commente Mathieu Isaia, directeur général de l’entreprise de cybersécurité TheGreenBow et président de l’Association des communes cyber-dynamiques. Cette dernière organisait en mai avec le Forum International de la Cybersécurité un évènement pour débattre des réactions possibles pour les collectivités face à cette « tempête cyber ».
« La genèse de l’association c’est une volonté d’accompagner les collectivités à faire le premier pas sur la cyber, avec une démarche valorisante, alors que le sujet est appréhendé trop souvent de façon anxiogène ou toxique. Une fois que la prise de conscience a eu lieu, que doit faire un élu concrètement ? Combien cela va-t-il lui coûter ? Comment se faire accompagner ? » décrit le dirigeant à cette occasion.
En effet, la responsabilité des élus est aujourd’hui engagée, parfois jusqu’au pénal : la nécessité d’avoir un plan d’action est donc primordial. Mais pour Mathieu Isaia, c’est aussi l’occasion d’apprendre à « valoriser ce qui est fait, et donc à valoriser son territoire ».
Toutes les tailles de collectivités concernées
D’autant que tous les types et toutes les tailles de collectivités sont concernés par la problématique. « En cyber, la géographie ne compte pas ; l’attaquant voit seulement une adresse IP, il ne sait pas que vous êtes une toute petite commune à la campagne. Et vos adresses IP sont autant de portes qui sont testées en continue, pour vérifier si vous en avez laissé une ouverte. Il faut en prendre conscience » souligne Cyril Bras, qui a été à la tête de la cybersécurité de la métropole de Grenoble jusqu’il y a quelques mois.
« Pendant 4 ans, mon expérience a été riche » raconte-t-il. « J’avais l’idée de faire de la cybersécurité un sujet bien pris en compte par la métropole mais j’ai été vite confronté à une situation d’accumulation de dettes techniques et à des éditeurs de logiciels qui ne voulaient pas changer. J’ai essayé de comparer mon ressenti avec d’autres responsables de la sécurité des systèmes d’information (RSSI) de collectivités. Tout le monde est confronté à des éditeurs qui ne font pas le boulot, mais surtout qui n’écoutent pas du tout les besoins des collectivités. Et j’ai aussi constaté que la plupart des RSSI ne peuvent pas s’adresser aux directeurs généraux des services ou aux élus dans leur quotidien, pour passer les bons messages. Alors, comment faire face ? »
Pour Denis Mottier, chargé de mission au sein de l’Association des maires de France et des présidents d’intercommunalité (AMF), « la France deviendra cyber résiliente à partir du moment où chaque petite commune progressera. Ce sont elles qui sont la majorité du tissu des collectivités. Elles ne sont pas confrontées à une crise du « vouloir », mais à une crise du « pouvoir ». Le principal frein est sur l’aspect financier ». L’AMF mobilise ses membres sur le sujet à travers une « commission numérique » et une « commission sécurité et prévention de la délinquance », qui inclue dorénavant les risques cyber. De plus, le président de l’association, David Lisnard, a créé un groupe de travail dédié à la prévention et à la réaction face aux nouveaux risques, qui couvre à la fois les risques naturels et les risques cyber. Un guide a été créé avec Cybermalveillance.gouv.fr pour faciliter l’acculturation d’acteurs publics qui sont parfois très éloignés de ces sujets.
Dispositifs territoriaux, Cyber Campus…
L’Anssi a de son côté créé un dispositif territorial, avec des délégués en région pouvant servir de point de contacts. « Les délégués sont des ambassadeurs et des sachants, pas des opérationnels. Ils sont là pour faciliter et orchestrer les échanges entre tous les acteurs » précise cependant François Dégez, chef de la division Coordination Territoriale à l’Anssi. « Un délégué territorial n’est pas une agence de prestation de service. Le principe de la libre administration des communes en France, implique que les maires sont par exemple responsables de faire eux-mêmes les constats en cas d’attaque, plutôt que d’attendre que l’Anssi le fasse ». L’évolution des partis-pris de l’Etat se voit aussi dans le rôle donné à ses préfets : depuis avril ceux-ci ont l’instruction de mieux coordonner l’action de renforcement cyber au niveau territorial. Il n’a donc jamais été aussi simple d’accéder à des informations utiles grâce aux services des préfectures.
De même, après s’être lancé à Paris dans le quartier de la Défense et face aux défis territoriaux, le Cyber Campus se décline aujourd’hui en région (Hauts-de-France, Nouvelle Aquitaine…). Ce lieu totem de la cybersécurité française réunissant des professionnels de tout horizon au service d’une meilleure sécurité collective, devient donc plus accessible au sein des territoires, pour faciliter les synergies et accéder également plus facilement à des prestataires de confiance.
Pour les collectivités, l’une des clés de l’efficacité viendra de la dynamique de coordination portée par les élus, avec « solidarité et récursivité entre communes, département et jusqu’à la Région » estime-t-on à l’AMF. « Quand on arrive à coordonner les budgets, le niveau d’action et de réaction change fortement » explique Denis Mottier.
Des diagnostics gratuits pour aider
Les plus petites communes doivent donc elles aussi se mobiliser. Elles peuvent heureusement bénéficier de dispositifs existants pour leur faciliter la vie. « Trop peu d’élus sont au courant qu’ils peuvent demander gratuitement à la Gendarmerie de faire un diagnostic de leur cybersécurité en 180 points ; c’est extrêmement riche » illustre par exemple Mathieu Isaia.
De son côté, l’AMF renvoie vers l’existence ces dernières années du questionnaire « Immunité Cyber » qui posait 10 questions de base pour permettre aux collectivités d’évaluer leur maturité. « Il existe depuis 6 mois un nouveau dispositif, nommé diagnostic Diagonal, beaucoup plus complet et qui va progressivement se déployer auprès des communes de toute taille » complète Denis Mottier.
Anticiper et se poser les questions de la fiabilité de ses usages et de la solidité de ses systèmes est un premier pas. « A Angers on sait que les attaquants ont mis 2 mois pour faire le tour du système d’information, mais seulement deux heures pour tout casser… et on sait que la commune a mis deux ans pour s’en remettre » rappelle François Dégez. Il montre également que certains territoires commencent à prendre le sujet à bras le corps : « 20% des communes du Morbihan ont sollicité les gendarmes pour un diagnostic, ce qui en fait le premier département de France en la matière. Certaines ont été accompagnées ensuite pendant 6 mois pour en analyser les résultats. Ce n’est pas anodin comme gain de maturité. Dans le cadre du plan de relance, ce diagnostic bénéficiera d’une nouvelle version qui s’appellera « Mon aide cyber », avec l’objectif de proposer des « quick wins » et surtout d’aider les collectivités à faire le plus dur, c’est-à-dire le premier pas pour se lancer ».
« Après un diagnostic, il est beaucoup plus simple de faire un plan d’action pour adresser les problèmes identifiés » confirme Mathieu Isaia. « C’est souvent l’occasion aussi de nommer un « cyber champion » qui n’est pas un expert technique comme un DSI ou un RSSI, mais qui sera plutôt un correspondant local « métier », agent ou élu, qui donnera l’impulsion du changement au quotidien et fera le lien en interne et vers l’externe ».
Acculturer le plus grand nombre au sein des collectivités
Toucher les non-spécialistes dans les collectivités est effectivement fondamental pour amener des changements durables. Une collectivité doit pouvoir progresser en cybersécurité même sans RSSI dédié. Et il ne faut pas sous-estimer les effets bénéfiques d’une telle acculturation. A Grenoble, sur 6000 agents, Cyril Bras a eu la possibilité d’en sensibiliser 400 pendant quatre ans : « Les agents sont souvent assez preneurs de formation, si on présente bien le sujet. Sur ceux que j’ai pu former, à peu près les trois quart se sont ensuite vraiment engagés en me signalant des mails malveillants, etc. En mobilisant ainsi les humains, on parvient à compenser un peu les difficultés liées à sa dette technique ».
Pour faciliter cette appropriation, la Fédération française de la cybersécurité a par exemple créé un nouveau métier « d’Assistant de la Cybersécurité ». Sans être un pur expert cyber (le poste repose sur un certificat d’aptitude plutôt qu’un diplôme d’ingénieur), ses missions sont dédiées à l’accompagnement de la mise en place des règles d’hygiène informatique, du RGPD, de la sécurité informatique…
Le signe que la responsabilité en matière de cybersécurité se diffuse et que les outils à disposition des collectivités, même les plus petites d’entre elles, se multiplient pour leur permettre de faire face aux menaces.