Le magazine des maires et présidents d'intercommunalité
Maires de France
Solutions locales
novembre 2022
Numérique, réseaux sociaux

Cyberattaques : comment les collectivités se prémunissent

Les cyberattaques ne sont pas une fatalité. Face à une menace toujours plus tangible, les collectivités prennent les devants. La sensibilisation des agents est une priorité.

Olivier Devillers
Illustration
© @lafibre64
Signature du dispositif « Bouclier Cyber 64 » entre le syndicat mixte Fibre64 et l'Association départementale des maires, le 17 septembre 2022.
Quelque 300 communes de toutes tailles, selon le site spécialisé Zataz qui répertorie les cyberattaques, auraient subi des rançongiciels au cours des deux dernières années. Sondés par l’observatoire Data Publica en octobre 2022, 89 % des collectivités s’estiment la cible de cyber­attaques mais près de 34 % des communes de moins de 3 500 habitants n’ont « pas identifié » la sécurité informatique comme un sujet prioritaire. Pourtant comme le montrent les exemples ici, certaines actions peuvent être mises en œuvre très rapidement.

Sécuriser les mails

Longueil-Sainte-Marie (Oise, 1 924 habitants)

Début 2021, la mairie de Longueil-Sainte-Marie a réalisé un audit de sécurité. Une «certification RGS » (acronyme de référentiel de sécurité) proposée par l’Adico, la structure de mutualisation numérique qui gère l’informatique communale. « C’est très intéressant comme démarche car on obtient une photographie des risques encourus assortie de recommandations pour les maîtriser », explique son maire, Stanislas Barthélemy. Les neuf postes de travail et le serveur ont été passés au crible, tout comme la configuration des locaux ou le réseau Wifi. «Nous nous sommes par exemple aperçus que les travaux d’accessibilité de la mairie avaient conduit à déplacer des bureaux. Les personnes de l’accueil ne pouvaient donc plus surveiller les entrées-sorties », raconte le maire.

Une caméra a été placée dans l’entrée pour pallier ce problème. Des défaillances ont aussi été pointées sur la gestion des mails. Tous les agents et élus ont désormais une adresse officielle (@mairielsm.fr) passant par un serveur de messagerie propre à la collectivité. Une charte informatique est en cours de finalisation pour fixer des règles, à commencer par la séparation des usages professionnels et personnels. La collectivité va aussi réaliser un test d’hameçonnage car les usurpations d’identité sont souvent la première étape d’une attaque par rançongiciel.

Autre souci : la gestion des mots de passe qui passait jusqu’alors par un « cahier de mot de passe ». Il a été mis fin à ces pratiques, la sécurité des mots de passe a été renforcée et l’usage d’un gestionnaire de mot de passe est programmé. Toutes les recommandations n’ont cependant pas été mises en œuvre. « On nous a préconisé de fermer systématiquement des bureaux dès qu’on en est absent. Ce n’est pas dans nos usages et j’assume la responsabilité de ne pas avoir mis en œuvre cette préconisation », précise le maire. Idem pour la sauvegarde en ligne, jugée trop chère, la mairie pratiquant déjà une double sauvegarde quotidienne, en mairie et dans un autre bâtiment. Car si la sécurité n’a pas de prix, elle a un coût que la mairie entend maîtriser.

 

22 centimes/habitant    
L’État aide les petites collectivités à s’équiper en solutions cyber. La subvention est fixée à 22 centimes par habitant avec un seuil de 330 euros et un plafond de 11 000 euros. Elle passe cependant nécessairement par une structure de mutualisation appelée à cofinancer.

 

Un bouclier cyber pour les communes

Syndicat mixte La Fibre64

La Fibre64, syndicat mixte chargé du déploiement de la fibre dans les ­Pyrénées-Atlantiques, propose aux communes et EPCI du département un accompagnement en trois étapes. Le syndicat a répondu à une demande de l’association départementale des maires et le projet a bénéficié de l’appui de l’Agence nationale de la sécurité des systèmes d’information (Anssi). « La première étape repose sur la sensibilisation des agents et des élus car 80 % des risques se trouvent entre la chaise et le clavier », précise Nicolas Patriarche, président du syndicat.

Concrètement, des sessions de formation à « l’hygiène informatique » sont proposées aux agents et élus. Elles permettent à toute personne, même sans aucun bagage informatique, d’acquérir les « premiers gestes barrières », comme la vigilance sur les mails (expéditeurs, domaine…) ou le mot de passe robuste, pour contrer les menaces les plus fréquentes. Les communes peuvent ensuite établir un autodiagnostic sur leur réseau, ordinateurs et applications… Si elles n’arrivent pas à répondre à toutes les questions, elles peuvent solliciter l’aide de la Fibre64 ou de leur prestataire informatique habituel.

C’est une fois cette seconde étape franchie qu’elles peuvent mettre en place le « bouclier cyber 64 ». Quatre logiciels sont mis à disposition des communes et EPCI : un antispam, un gestionnaire de mots de passe, une sauvegarde à distance des données et un anti-virus. « Avec ces logiciels, les collectivités peuvent faire face aux attaques les plus courantes : compromission des comptes de messagerie, attaques de malwares, cryptage des données, virus ou rançongiciel. Ces outils sont gratuits pour les communes, l’acquisition, l’installation, l’assistance et la maintenance étant financée par l’Anssi pendant trois ans », précise Nicolas Patriarche.

Doublement du budget informatique

Douai (pas-de-calais, 39 989 habitants)

La ville a été victime, en avril 2021, d’un rançongiciel. «Heureusement, grâce à une troisième sauvegarde épargnée par les pirates, nous avons échappé au pire. Aucune donnée sensible n’a fuité », raconte le maire de Douai, Frédéric ­Chéreau. Les investigations menées ultérieurement révéleront que l’attaque a pour origine le réseau privé virtuel (VPN) utilisé par les agents pour télétravailler et accéder aux applications métier. En piratant un compte, les cybercriminels ont réussi à pénétrer le système d’information de la collectivité, à neutraliser postes de travail et sauvegardes.

Cet épisode a conduit la collectivité à remettre à plat sa stratégie de cybersécurité et à doubler son budget informatique, passé à 100 000 e. La collectivité a bénéficié du dispositif « parcours cyber » proposé par l’Anssi dans le cadre du plan de relance gouvernemental. L’intégralité du système d’information a ainsi été passé au crible, sans oublier les dispositifs connectés. « La station essence des services techniques utilise un logiciel susceptible d’être piraté », cite en exemple le directeur des systèmes d’information (DSI). Or, ces logiciels très spécifiques ne sont pas toujours maintenus par les prestataires et n’étaient jusqu’à présent pas dans le périmètre de la DSI.

Un nouvel antivirus a aussi été installé sur l’ensemble des postes de travail. Sa particularité ? Analyser en permanence l’activité d’une machine et pouvoir la déconnecter en cas de comportement anormal. L’accent a aussi été mis sur la sensibilisation des agents et le SI a fait l’objet de simulations d’attaques par des « hackers blancs » (cyber-experts qui testent la robustesse des systèmes). La solidité du SI a été examinée depuis l’extérieur et en cas d’accès au réseau interne. « Nous n’avons pas à rougir des résultats même si la sécurité est une course contre la montre et qu’il ne faut pas relâcher nos efforts », conclut l’élu. 

 

Assurer les cyber-rançons ?
Le projet de loi de programmation sur la sécurité intérieure prévoit d’autoriser la prise en charge de la rançon par un assureur à partir du moment où la victime porte plainte. La disposition, qui doit encore être adoptée, ne fait pas l’unanimité. Pour l’Anssi, «le paiement des rançons entretient cette activité criminelle et ne garantit pas à la victime la récupération de ses données ». Les assureurs sont eux-mêmes divisés sur une garantie qui serait assortie d’exceptions et ne couvrira pas les ­conséquences d’une cyber­attaque : perte d’image et de confiance, données personnelles dans la nature…

 

« Des outils pour les risques cyber » 

Jérôme Notin, directeur général du groupement d’intérêt public Action contre la cybermalveillance (ACYMA)
Sur notre plateforme cybermalveillance.gouv.fr, nous proposons des contenus et services adaptés aux besoins des petites collectivités. Nous venons ainsi de publier un kit de sensibilisation des agents et des élus aux risques cyber. Il comprend une méthode, une proposition de plan d’action et d’outils (affiches, présentation…) que les collectivités peuvent utiliser en toute autonomie.
Ce kit complète le guide, conçu avec l’appui de l’AMF et de la CNIL, sur les risques juridiques encourus par les collecti-vités en cas de cyberattaque. Nous avons aussi lancé, l’an dernier, l’outil d’autodiagnostic «immunité cyber », diffusé auprès des communes, en ­collaboration avec la Gendarmerie nationale. Ce diagnostic a généré un doublement des appels auprès des gendarmes, sollicités par les maires pour des actions de sensibilisation.
Dans le même esprit, nous avons ­réalisé une série de vidéos pour faire témoigner des victimes et valoriser des démarches exemplaires. Parmi celles-ci, on citera la mise à jour systématique des logiciels, le renforcement de la confidentialité des mots de passe et la mise en place d’antivirus.  

 

Trouver un prestataire
Si la collectivité ne peut s’appuyer sur une structure de mutualisation informatique de proximité, elle peut utiliser la plateforme cyber malveillance.
gouv.fr pour réaliser un diagnostic et trouver un prestataire labellisé. Il est vivement recommandé de ne pas recourir au gestionnaire de l’informatique communale pour réaliser ce travail car le prestataire serait juge et ­partie.

A lire aussi: 

Suivez Maires de France sur Twitter: @Maires_deFrance


Raccourci : mairesdefrance.com/1752
Couverture

Cet article a été publié dans l'édition :

n°406 - NOVEMBRE 2022
Retrouver tous les articles de ce numéro :
Les offres d’abonnement
Toutes les éditions

Lire le magazine

MARS 2023 N°410
class="couleur1">
Finances locales 2022-2023

class="couleur">
Cybersécurité

Dossiers d'actualité
class="couleur">
104e Congrès 2022

Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).