janvier 2021
Numérique, réseaux sociaux
Trois stratégies pour faire face aux cyberrisques
Face à des attaques informatiques aux effets de plus en plus dévastateurs, la cyberÂsécurité n'est plus une option. Quelle que soit la taille de la commune. Par Olivier Devillers

© Soluris
En Charente-Maritime, le syndicat informatique Soluris dispense à l'attention
de ses collectivités adhérentes des formations sur la mise en conformité des données personnelles et la cybersécurité.
. Former tous les personnels
Vannes (Morbihan, 53 300 hab.)
En 2016, la commune a subi une attaque par rançongiciel. « Cinq agents, ayant cliqué malencontreusement sur un fichier infecté ont vu leur poste de travail paralysé. On nous demandait une rançon de 20 000 euros pour les récupérer », raconte Anne le Hénanff, première adjointe au maire chargée du numérique (lire ci-contre). Si les dommages ont été somme toute limités – la ville ayant évité la propagation du virus au sein de la collectivité –, l’événement aura servi de leçon. « J’étais alors une élue au numérique très enthousiaste sur la dématérialisation et je me suis rendu compte qu’il fallait revoir nos priorités. » C’est en faisant valoir les risques sur les données personnelles – on parlait alors beaucoup de l’arrivée du règlement général de la protection des données (RGPD) – que l’élue a réussi à convaincre le maire et le directeur général des services d’investir massivement dans la sécurité. La ville a désormais un responsable de la sécurité des systèmes d’information (RSSI) par lequel transitent tous les projets informatiques. Les marchés publics comportent systématiquement une clause « sécurité ». Mais l’effort principal a porté sur la formation des agents et des élus. Les premiers ont bénéficié d’une demi-journée de formation pour les sensibiliser aux risques informatiques et aux bons réflexes (mots de passe, pièce jointe, etc.). Tous les personnels ont été formés, y compris ceux qui n’avaient pas de postes informatiques attitrés, car «il s’agit d’acquérir une culture commune de la cybersécurité ». Quant aux élus, ils ont été formés sur des sessions d’1h30. Pour éviter qu’ils ne mélangent la sphère municipale avec leurs activités personnelles ou professionnelles, un espace élu a été créé où ils peuvent retrouver, à l’aide de la tablette fournie par la ville, tous les documents liés à la vie de la collectivité. Comme les agents, ils doivent signer une charte d’usage des outils informatiques les engageant à une utilisation responsable des outils et logiciels mis à leur disposition.
. Le cloud pour sécuriser les données
Saint-Paul-en-Jarez (Loire, 4 800 hab.)
La particularité de Saint-Paul-en-Jarez est d’avoir été une victime collatérale… de son prestataire informatique. En ce lundi matin de janvier 2020, la dizaine d’agents s’est retrouvée face à des fichiers cryptés impossibles à ouvrir. Des fichiers stockés sur un serveur central dont l’outil de télémaintenance, utilisé par le prestataire, avait été piraté. «Lorsque nous l’avons appelé, il nous a dit : «Ah, vous aussi… », explique le responsable informatique. L’attaque exploitait une faille logicielle de dimension mondiale comme l’enquête de l’unité cybersécurité de la gendarmerie l’a révélée. Tout d’abord, l’enjeu était d’assurer la continuité des services. Or, la ville s’est rendu compte que les sauvegardes étaient aussi inexploitables. Elle a dû son salut au hasard : une sauvegarde était tombée en rade et n’était plus connectée au serveur. Le prestataire a pu ainsi récupérer toutes les données antérieures à janvier 2019. «Cela faisait un an de perdu mais comme les mails n’ont pas été touchés, nous avons pu récupérer une bonne partie des données », explique le responsable informatique. Par ailleurs, la collectivité a mesuré les mérites des offres SAAS (logiciels en location, hébergés à distance), qui ont permis aux ressources humaines de continuer à travailler sans encombre. La mairie a du reste décidé de passer la majeure partie des logiciels métiers en SAAS, «l’exigence de sauvegarde et de sécurité reposant sur l’éditeur ». De plus, la ville s’est dotée d’une sauvegarde supplémentaire. «Nous avions eu un incendie dans un bâtiment, ce qui nous avait conduits à avoir une sauvegarde à l’extérieur. Notre prestataire nous avait préconisé de prendre une sauvegarde en ligne en décembre 2019 mais le sinistre est arrivé avant… », regrette le technicien. La mairie a dû aussi changer de serveur (coût : 8 000 e) et a surtout commandé un audit de sécurité. «Nous souhaitons avoir un avis extérieur car notre prestataire, quand il propose des conseils, est à la fois juge et partie. »
. Utiliser le RGPD comme levier
Soluris (Charente-Maritime, 500 membres)
Le syndicat mixte informatique Soluris accompagne les communes pour les équiper et passer à la dématérialisation. Si la sécurité est une préoccupation quotidienne du syndicat pour toutes les applications qu’il déploie, les règles «d’hygiène informatique » ne sont pas toujours évidentes à faire comprendre aux élus. «Si la protection de la mairie par une serrure et une alarme relève de l’évidence, c’est plus compliqué pour l’informatique où l’élu visualise difficilement le risque d’intrusion », explique Vincent Coppolani, nouveau vice-président à la cybersécurité de Soluris. Dit autrement, la sécurité informatique bute souvent sur l’adoption du budget et c’est, hélas, souvent après une cyberattaque que les investissements longtemps reportés sont réalisés. «Le règlement général de la protection des données (RGPD) a changé la donne car désormais, la protection des données personnelles est une obligation légale. Tout manquement est lourdement sanctionné par la loi. Nous nous sommes donc appuyés sur le RGPD pour débuter le chantier de la cybersécurité », explique l’élu. Il est vrai que le RGPD partage, avec la cybersécurité, des objectifs communs (protéger des données et des systèmes) et un mode organisationnel. En désignant comme DPD Soluris (en réalité plusieurs agents), beaucoup de communes font ainsi un premier pas dans la mise en œuvre d’un plan de cybersécurité. La cartographie des applications, et notamment de celles qui traitent des données personnelles (état civil, enfance, aide sociale, etc.), permet d’identifier celles qu’il faut d’abord sécuriser. Le syndicat mutualise ensuite l’acquisition d’outils et de solutions sélectionnés pour leur fiabilité.
Avis d'expert
Anne le Hénanff, 1re adjointe au maire de Vannes,
en charge de la
performance de l’action publique et de la transformation numérique
« Les interco ont un rôle central à jouer »
Anne le Hénanff, 1re adjointe au maire de Vannes,
en charge de la

« Les interco ont un rôle central à jouer »
« Lorsqu’en 2016, la ville de Vannes a été victime d’un rançongiciel, je me suis rendu compte que les collectivités, et surtout les plus petites d’entre elles, étaient très démunies pour faire face à une cyberattaque. Et si nous avons eu la chance de récupérer 95 % de nos données, cela n’a pas été le cas de certaines communes voisines victimes du même rançongiciel. C’est à partir de cette expérience qu’est née l’idée d’un guide destiné aux élus. Sous l’impulsion de l’ANSSI, nous avons constitué un groupe de travail associant plusieurs collectivités bretonnes et le guide, cosigné par l’ANSSI et l’AMF, a été publié le 20 novembre. Il propose une trentaine de recommandations pratiques pour aider les élus à bâtir une stratégie de cybersécurité. Les intercommunalités ont un rôle central à jouer pour mutualiser les compétences et les moyens nécessaires à cette politique. Le guide insiste aussi beaucoup sur la formation des agents, la plupart des cyberattaques ayant pour origine une défaillance humaine. »
Des ressources contre la cybermalveillance
Le site gouvernemental www.cybermalveillance.gouv.fr propose des ressources sur la cybersécurité destinées au grand public comme aux organisations. Des fiches pratiques permettent de comprendre les menaces informatiques et d’adopter les bons réflexes (mots de passe, sauvegardes, réseaux sociaux, séparation des sphères privée et professionnelle, etc.). En cas d’attaque, la rubrique «assistance » aidera à réaliser un premier diagnostic. En fonction de la nature de l’incident, elle proposera d’entrer en contact avec les entreprises spécialisées les plus proches de la collectivité.
Le site gouvernemental www.cybermalveillance.gouv.fr propose des ressources sur la cybersécurité destinées au grand public comme aux organisations. Des fiches pratiques permettent de comprendre les menaces informatiques et d’adopter les bons réflexes (mots de passe, sauvegardes, réseaux sociaux, séparation des sphères privée et professionnelle, etc.). En cas d’attaque, la rubrique «assistance » aidera à réaliser un premier diagnostic. En fonction de la nature de l’incident, elle proposera d’entrer en contact avec les entreprises spécialisées les plus proches de la collectivité.
Suivez Maires de France sur Twitter: @Maires_deFrance
Cet article a été publié dans l'édition :
n°386 - JANVIER 2021
- Parité. Encore un effort !
- Décentralisation : l'AMF maintient la pression
- Covid-19. Avis de tempête pour les finances locales
- Relance et transition écologique : des contrats encore flous
- L'offre médico-sociale reste très inégale selon les territoires
- « L'État doit rompre avec une gestion sanitaire hypercentralisée et bureaucratisée »
- « Séparatismes » : plusieurs mesures concernent les collectivités
- Droit des sols : cap sur la « full démat' » en 2022
- Mobilité : objectif mars 2021 pour les communautés
- Plan local d'urbanisme : les modalités de transfert aux EPCI au 1er juillet 2021
- Que doit contenir l'étude préalable en cas d'évolution de périmètre d'une intercommunalité ?
- Permanences. Être au plus près des habitants
- Les droits à absence des élu(e)s locaux(les)
- Santé. Les communes en première ligne
- Trois stratégies pour faire face aux cyberrisques
- Ruffey-lès-Beaune valorise le travail d'intérêt général
- Une ferme solaire pour favoriser la transition énergétique
- Mondeville repousse l'implantation d'Amazon
- Il fait du logement social un atout
- Engager la rénovation énergétique des bâtiments
- Numérique : comment créer une base adresse locale gratuitement
- Travailler avec... Le groupe SOS
- Visio-conférence : choisir les bons outils
- Analyse - Le maire et la prévention de la radicalisation
- Textes officiels - Éducation - 40 nouvelles " cités éducatives " en 2021
- Textes officiels - Vélo - Fonctionnement du fichier unique des cycles identifiés
- Textes officiels - Action publique - Loi ASAP : un nouveau train de mesures de simplification
- Textes officiels - Énergie - Rénovation énergétique du bâti des collectivités
- Actu - Déclaration sociale nominative : attention aux délais !
- Actu - Spectacles itinérants : connaître les règles
- Actu - Report du recensement en 2022
- Actu - CCAS-CIAS : visio-conférences
- Actu - FPT. Rédiger le rapport social
- L'AMF vous répond
- L'AMF vous répond
- L'AMF vous répond
- Le maire et les poteaux
Les offres d’abonnement
Toutes les éditions
Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).