Cyberattaques : comment les collectivités se prémunissent
Les cyberattaques ne sont pas une fatalité. Face à une menace toujours plus tangible, les collectivités prennent les devants. La sensibilisation des agents est une priorité.
Sécuriser les mails
Longueil-Sainte-Marie (Oise, 1 924 habitants)
Début 2021, la mairie de Longueil-Sainte-Marie a réalisé un audit de sécurité. Une «certification RGS » (acronyme de référentiel de sécurité) proposée par l’Adico, la structure de mutualisation numérique qui gère l’informatique communale. « C’est très intéressant comme démarche car on obtient une photographie des risques encourus assortie de recommandations pour les maîtriser », explique son maire, Stanislas Barthélemy. Les neuf postes de travail et le serveur ont été passés au crible, tout comme la configuration des locaux ou le réseau Wifi. «Nous nous sommes par exemple aperçus que les travaux d’accessibilité de la mairie avaient conduit à déplacer des bureaux. Les personnes de l’accueil ne pouvaient donc plus surveiller les entrées-sorties », raconte le maire.
Une caméra a été placée dans l’entrée pour pallier ce problème. Des défaillances ont aussi été pointées sur la gestion des mails. Tous les agents et élus ont désormais une adresse officielle (@mairielsm.fr) passant par un serveur de messagerie propre à la collectivité. Une charte informatique est en cours de finalisation pour fixer des règles, à commencer par la séparation des usages professionnels et personnels. La collectivité va aussi réaliser un test d’hameçonnage car les usurpations d’identité sont souvent la première étape d’une attaque par rançongiciel.
Autre souci : la gestion des mots de passe qui passait jusqu’alors par un « cahier de mot de passe ». Il a été mis fin à ces pratiques, la sécurité des mots de passe a été renforcée et l’usage d’un gestionnaire de mot de passe est programmé. Toutes les recommandations n’ont cependant pas été mises en œuvre. « On nous a préconisé de fermer systématiquement des bureaux dès qu’on en est absent. Ce n’est pas dans nos usages et j’assume la responsabilité de ne pas avoir mis en œuvre cette préconisation », précise le maire. Idem pour la sauvegarde en ligne, jugée trop chère, la mairie pratiquant déjà une double sauvegarde quotidienne, en mairie et dans un autre bâtiment. Car si la sécurité n’a pas de prix, elle a un coût que la mairie entend maîtriser.
L’État aide les petites collectivités à s’équiper en solutions cyber. La subvention est fixée à 22 centimes par habitant avec un seuil de 330 euros et un plafond de 11 000 euros. Elle passe cependant nécessairement par une structure de mutualisation appelée à cofinancer.
Un bouclier cyber pour les communes
Syndicat mixte La Fibre64
La Fibre64, syndicat mixte chargé du déploiement de la fibre dans les Pyrénées-Atlantiques, propose aux communes et EPCI du département un accompagnement en trois étapes. Le syndicat a répondu à une demande de l’association départementale des maires et le projet a bénéficié de l’appui de l’Agence nationale de la sécurité des systèmes d’information (Anssi). « La première étape repose sur la sensibilisation des agents et des élus car 80 % des risques se trouvent entre la chaise et le clavier », précise Nicolas Patriarche, président du syndicat.
Concrètement, des sessions de formation à « l’hygiène informatique » sont proposées aux agents et élus. Elles permettent à toute personne, même sans aucun bagage informatique, d’acquérir les « premiers gestes barrières », comme la vigilance sur les mails (expéditeurs, domaine…) ou le mot de passe robuste, pour contrer les menaces les plus fréquentes. Les communes peuvent ensuite établir un autodiagnostic sur leur réseau, ordinateurs et applications… Si elles n’arrivent pas à répondre à toutes les questions, elles peuvent solliciter l’aide de la Fibre64 ou de leur prestataire informatique habituel.
C’est une fois cette seconde étape franchie qu’elles peuvent mettre en place le « bouclier cyber 64 ». Quatre logiciels sont mis à disposition des communes et EPCI : un antispam, un gestionnaire de mots de passe, une sauvegarde à distance des données et un anti-virus. « Avec ces logiciels, les collectivités peuvent faire face aux attaques les plus courantes : compromission des comptes de messagerie, attaques de malwares, cryptage des données, virus ou rançongiciel. Ces outils sont gratuits pour les communes, l’acquisition, l’installation, l’assistance et la maintenance étant financée par l’Anssi pendant trois ans », précise Nicolas Patriarche.
Doublement du budget informatique
Douai (pas-de-calais, 39 989 habitants)
La ville a été victime, en avril 2021, d’un rançongiciel. «Heureusement, grâce à une troisième sauvegarde épargnée par les pirates, nous avons échappé au pire. Aucune donnée sensible n’a fuité », raconte le maire de Douai, Frédéric Chéreau. Les investigations menées ultérieurement révéleront que l’attaque a pour origine le réseau privé virtuel (VPN) utilisé par les agents pour télétravailler et accéder aux applications métier. En piratant un compte, les cybercriminels ont réussi à pénétrer le système d’information de la collectivité, à neutraliser postes de travail et sauvegardes.
Cet épisode a conduit la collectivité à remettre à plat sa stratégie de cybersécurité et à doubler son budget informatique, passé à 100 000 e. La collectivité a bénéficié du dispositif « parcours cyber » proposé par l’Anssi dans le cadre du plan de relance gouvernemental. L’intégralité du système d’information a ainsi été passé au crible, sans oublier les dispositifs connectés. « La station essence des services techniques utilise un logiciel susceptible d’être piraté », cite en exemple le directeur des systèmes d’information (DSI). Or, ces logiciels très spécifiques ne sont pas toujours maintenus par les prestataires et n’étaient jusqu’à présent pas dans le périmètre de la DSI.
Un nouvel antivirus a aussi été installé sur l’ensemble des postes de travail. Sa particularité ? Analyser en permanence l’activité d’une machine et pouvoir la déconnecter en cas de comportement anormal. L’accent a aussi été mis sur la sensibilisation des agents et le SI a fait l’objet de simulations d’attaques par des « hackers blancs » (cyber-experts qui testent la robustesse des systèmes). La solidité du SI a été examinée depuis l’extérieur et en cas d’accès au réseau interne. « Nous n’avons pas à rougir des résultats même si la sécurité est une course contre la montre et qu’il ne faut pas relâcher nos efforts », conclut l’élu.
Le projet de loi de programmation sur la sécurité intérieure prévoit d’autoriser la prise en charge de la rançon par un assureur à partir du moment où la victime porte plainte. La disposition, qui doit encore être adoptée, ne fait pas l’unanimité. Pour l’Anssi, «le paiement des rançons entretient cette activité criminelle et ne garantit pas à la victime la récupération de ses données ». Les assureurs sont eux-mêmes divisés sur une garantie qui serait assortie d’exceptions et ne couvrira pas les conséquences d’une cyberattaque : perte d’image et de confiance, données personnelles dans la nature…
Jérôme Notin, directeur général du groupement d’intérêt public Action contre la cybermalveillance (ACYMA)
Ce kit complète le guide, conçu avec l’appui de l’AMF et de la CNIL, sur les risques juridiques encourus par les collecti-vités en cas de cyberattaque. Nous avons aussi lancé, l’an dernier, l’outil d’autodiagnostic «immunité cyber », diffusé auprès des communes, en collaboration avec la Gendarmerie nationale. Ce diagnostic a généré un doublement des appels auprès des gendarmes, sollicités par les maires pour des actions de sensibilisation.
Dans le même esprit, nous avons réalisé une série de vidéos pour faire témoigner des victimes et valoriser des démarches exemplaires. Parmi celles-ci, on citera la mise à jour systématique des logiciels, le renforcement de la confidentialité des mots de passe et la mise en place d’antivirus.
Si la collectivité ne peut s’appuyer sur une structure de mutualisation informatique de proximité, elle peut utiliser la plateforme cyber malveillance.
gouv.fr pour réaliser un diagnostic et trouver un prestataire labellisé. Il est vivement recommandé de ne pas recourir au gestionnaire de l’informatique communale pour réaliser ce travail car le prestataire serait juge et partie.
- «Adopter les bons réflexes en cas de cyberattaque » et « Cyberattaques : comment se prémunir du pire » (Maires de France).
- «Guide sur les obligations et les responsabilités des collectivités locales » (Cnil)
A lire aussi:
- Adopter les bons réflexes en cas de cyberattaque
- Protection des données : désigner et mutualiser le délégué
Suivez Maires de France sur Twitter: @Maires_deFrance
Cet article a été publié dans l'édition :
- La coopération intercommunale repose sur l'écoute et la confiance entre les élus
- Travailler avec l'Agence du service civique
- Dans l'Aisne, la traque aux dépôts sauvages
- Santé : les pistes de réorganisation territoriale des soins
- Achat d'énergie : l'impasse ?
- Cyberattaques : comment les collectivités se prémunissent
- David Lisnard : « La priorité reste la lutte contre la bureaucratie »
- 104e Congrès de l'AMF : les temps forts
- Les échos d'avant-congrès 2022
- Sécurité civile : les départements demandent plus de moyens
- Décentralisation : le Sénat au travail
- Code de la justice pénale des mineurs : mission d'évaluation
- Sécurisation de la chasse : le rapport du Sénat
- Revitalisation des centres-villes et centres-bourgs : une politique à améliorer
- Cohésion : le Comité européen des régions alerte sur les inégalités territoriales
- Énergie : décarboner les bâtiments publics
- Renforcer le réseau AMF-AD
- ADM 39 - Soutien financier
- Andam - Accueil des nouveaux directeurs d'associations départementales
- AMV 88 - Convention avec les buralistes
- UAMC : lutte contre les violences intrafamiliales
- Finances : l'AMF 86 tire le signal d'alarme
- AD 26 - Indemniser le risque sécheresse
- AMF 68 - Sensibiliser au syndrome de Diogène
- AMF 37 - Congrès
- AMF 21 - Salon
- ADM 76 - Assemblée générale
- AMF 47 - Assemblée générale
- La sécurité des ponts reste un casse-tête pour les élus
- La réunion de l'organe délibérant en visioconférence
- Eau. Les élus confrontés à la gestion de la pénurie
- Seninghem (Pas-de-Calais) : contrôler l'instruction à domicile
- Béthune réussit son pari de mix énergétique
- Il lutte contre les incivilités environnementales
- Fouras dépollue et renature son ancienne décharge du Magnou
- Nommer et numéroter les rues : les principes à connaître
- Concessions funéraires en état d'abandon : comment les reprendre
- Sécurité : le vrai/faux concernant les gardes champêtres
- Espaces cinéraires : règlementation et réalisations
- La prévention des incendies de forêt
- Textes officiels - Les sapeurs-pompiers peuvent pratiquer certains gestes médicaux
- Textes officiels - Énergies renouvelables : les préfets appelés à faire preuve de volontarisme
- Textes officiels - Catastrophes : nouvelle doctrine de lutte contre les pollutions à la suite d'accidents maritimes
- Textes officiels - Pass culture : encourager une offre culturelle plus variée dans le champ scolaire
- Capteurs de CO2 : le gouvernement prolonge l'aide aux collectivités jusqu'au 31 décembre 2022
- Le partage de la taxe d'aménagement doit être délibéré avant le 31 décembre 2022
- Marchés publics : nouvelles mesures
- Sapeurs-pompiers volontaires : revalorisation
- Taxe d'aménagement : nouvelle application
- Contrats : modification des prix et tarifs
- L'AMF vous répond - Quel est le rôle du maire et du président d'EPCI lors des élections professionnelles du 8 décembre ?
- L'AMF vous répond - Que peut faire un maire ou un agent suspectant une dérive sectaire ?
- L'AMF vous répond - Quelles sont les obligations des apiculteurs ?
- Jongler entre vie professionnelle et mandat de maire
- Le contrôle de légalité
- Le maire et la tempête
Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).