Le magazine des maires et présidents d'intercommunalité
Maires de France
Solutions locales
février 2020
Numérique, réseaux sociaux Sécurité - sécurité civile

Cyberattaque : comment le Grand Cognac a fait face

En octobre 2019, la communauté d'agglomération (Charente, 57 communes) était victime d'un cryptovirus, rendant inaccessibles des dizaines de milliers de fichiers.

Olivier DEVILLERS
Illustration
© Adobestock
Avant leur remise en service, les ordinateurs ont été dotés d'un antivirus comportemental pouvant détecter des programmes malveillants inconnus.
Ce lundi matin 14 octobre 2019, en constatant l’inaccessibilité du serveur de fichiers, les 500 agents du Grand Cognac étaient loin de se douter de la gravité de ce qui semblait au départ une banale panne de réseau. Très rapidement, le service informatique informe la direction que les ordinateurs concernés sont totalement verrouillés par un « cryptovirus » invitant la collectivité à prendre contact avec les pirates, sans plus d’explications, ce que la communauté d’agglomération  a refusé de faire. « Le cryptovirus, dont nous n’avons toujours pas identifié la nature, devait être sur un ordinateur du réseau depuis plusieurs jours, voire plusieurs semaines. Il a été actionné à distance le samedi 12 octobre à minuit », explique Jérôme Sourisseau, le DGA ressources du Grand Cognac. 
Comment est-il arrivé là ? Selon toute vraisemblance par un clic malheureux d’un agent sur un lien ou une pièce jointe infectée que l’antivirus n’a pas été en mesure de détecter. « Nous avons mis 48 heures pour réaliser l’ampleur de l’attaque, notre priorité absolue étant d’assurer la continuité des services aux usagers », souligne le DGA. Le bilan se révèle particulièrement lourd : trois ans d’activité perdus (traitement de texte, tableurs…), plusieurs bases de données métiers inaccessibles parmi lesquelles le courrier et le droit des sols… Cinq postes sont inutilisables, tous les autres ordinateurs et stockages amovibles devant être analysés avant de pouvoir être réutilisés par les agents. Des ordinateurs sur lesquels un antivirus comportemental a été installé avant toute remise en service. À la différence des antivirus classiques, basé sur une liste de virus, ceux-ci peuvent détecter des programmes malveillants inconnus. «Ils ont pour contrepartie d’être très gourmands en ressource. La collectivité – fusion de 4 EPCI au niveau d’équipement très disparate – a ainsi dû mettre au rebus 50 machines pas assez puissantes pour les faire tourner », explique le DGA.

Trois années de travail perdues

Progressivement, les principaux services ont été rétablis, en commençant par la paie des agents et des fournisseurs. La collectivité va cependant mettre plusieurs mois à se remettre de cette attaque, tous les fichiers cryptés étant définitivement perdus. « L’addition – entre 150 000 et 200 000 euros en matériels et prestations informatiques – n’est que la partie apparente du préjudice. C’est en reprenant leurs dossiers que les agents se rendent compte des fichiers manquants. Si un double existe parfois – sur une clef, envoyé par mail, chez un partenaire… –, il faut encore vérifier qu’il s’agit de la dernière version. C’est un travail de fourmis et nous perdons un temps fou ! », déplore Jérôme Sourisseau. 
Fin décembre, la gendarmerie de Cognac continuait d’enquêter sur l’origine de cette cyberattaque avec, d’ores et déjà, une certitude : aucune donnée n’ayant été dérobée, l’intention était d’exiger une rançon.  À court terme, la priorité de la collectivité est d’éviter que cette mésaventure se renouvelle. Elle a ainsi opté pour externaliser l’hébergement de son informatique : «Cette solution fait reposer les contraintes de sécurité et de sauvegarde sur le prestataire mais elle n’est pas totalement satisfaisante car notre réseau n’est pas partout dimensionné pour l’accès distant, cela génère des lenteurs ». Un plan de sauvegarde informatique, dont la conception était programmée initialement pour… novembre 2019, est par ailleurs en cours de finalisation. Au-delà du renforcement de la sécurité physique et logicielle du système d’information, ce document intègrera un volet formation des agents et des élus, l’humain restant le maillon faible de la sécurité des systèmes d’information (SSI).

À lire  
La fiche « Prévenir le risque de cybermalveillance », Maires de France, n° 360, septembre 2018, p. 63.


Un dispositif pour aider les victimes
Le dispositif d’assistance aux victimes d’actes de cybermalveillance (1) propose notamment leur mise en relation  via une plate-forme numérique avec des prestataires de proximité susceptibles de restaurer leurs systèmes. L’ANSSI recommande aux victimes de porter plainte, de ne jamais céder aux demandes de rançon et de déconnecter les ordinateurs infectés des réseaux. Face aux cryptovirus, la meilleure des parades reste les sauvegardes régulières. (1) www.cybermalveillance.gouv.fr et www.ssi.gouv.fr

Suivez Maires de France sur Twitter: @Maires_deFrance

Lire le magazine

MARS 2023 N°410
class="couleur1">
Finances locales 2022-2023

class="couleur">
Cybersécurité

Dossiers d'actualité
class="couleur">
104e Congrès 2022

Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).