Cyberattaque : comment le Grand Cognac a fait face

Ce lundi matin 14 octobre 2019, en constatant l’inaccessibilité du serveur de fichiers, les 500 agents du Grand Cognac étaient loin de se douter de la gravité de ce qui semblait au départ une banale panne de réseau. Très rapidement, le service informatique informe la direction que les ordinateurs concernés sont totalement verrouillés par un « cryptovirus » invitant la collectivité à prendre contact avec les pirates, sans plus d’explications, ce que la communauté d’agglomération  a refusé de faire. « Le cryptovirus, dont nous n’avons toujours pas identifié la nature, devait être sur un ordinateur du réseau depuis plusieurs jours, voire plusieurs semaines. Il a été actionné à distance le samedi 12 octobre à minuit », explique Jérôme Sourisseau, le DGA ressources du Grand Cognac. 
Comment est-il arrivé là ? Selon toute vraisemblance par un clic malheureux d’un agent sur un lien ou une pièce jointe infectée que l’antivirus n’a pas été en mesure de détecter. « Nous avons mis 48 heures pour réaliser l’ampleur de l’attaque, notre priorité absolue étant d’assurer la continuité des services aux usagers », souligne le DGA. Le bilan se révèle particulièrement lourd : trois ans d’activité perdus (traitement de texte, tableurs…), plusieurs bases de données métiers inaccessibles parmi lesquelles le courrier et le droit des sols… Cinq postes sont inutilisables, tous les autres ordinateurs et stockages amovibles devant être analysés avant de pouvoir être réutilisés par les agents. Des ordinateurs sur lesquels un antivirus comportemental a été installé avant toute remise en service. À la différence des antivirus classiques, basé sur une liste de virus, ceux-ci peuvent détecter des programmes malveillants inconnus. «Ils ont pour contrepartie d’être très gourmands en ressource. La collectivité – fusion de 4 EPCI au niveau d’équipement très disparate – a ainsi dû mettre au rebus 50 machines pas assez puissantes pour les faire tourner », explique le DGA.

Trois années de travail perdues

Progressivement, les principaux services ont été rétablis, en commençant par la paie des agents et des fournisseurs. La collectivité va cependant mettre plusieurs mois à se remettre de cette attaque, tous les fichiers cryptés étant définitivement perdus. « L’addition – entre 150 000 et 200 000 euros en matériels et prestations informatiques – n’est que la partie apparente du préjudice. C’est en reprenant leurs dossiers que les agents se rendent compte des fichiers manquants. Si un double existe parfois – sur une clef, envoyé par mail, chez un partenaire… –, il faut encore vérifier qu’il s’agit de la dernière version. C’est un travail de fourmis et nous perdons un temps fou ! », déplore Jérôme Sourisseau. 
Fin décembre, la gendarmerie de Cognac continuait d’enquêter sur l’origine de cette cyberattaque avec, d’ores et déjà, une certitude : aucune donnée n’ayant été dérobée, l’intention était d’exiger une rançon.  À court terme, la priorité de la collectivité est d’éviter que cette mésaventure se renouvelle. Elle a ainsi opté pour externaliser l’hébergement de son informatique : «Cette solution fait reposer les contraintes de sécurité et de sauvegarde sur le prestataire mais elle n’est pas totalement satisfaisante car notre réseau n’est pas partout dimensionné pour l’accès distant, cela génère des lenteurs ». Un plan de sauvegarde informatique, dont la conception était programmée initialement pour… novembre 2019, est par ailleurs en cours de finalisation. Au-delà du renforcement de la sécurité physique et logicielle du système d’information, ce document intègrera un volet formation des agents et des élus, l’humain restant le maillon faible de la sécurité des systèmes d’information (SSI).

À lire  
La fiche « Prévenir le risque de cybermalveillance », Maires de France, n° 360, septembre 2018, p. 63.

Suivez Maires de France sur Twitter: @Maires_deFrance