Le magazine des maires et présidents d'intercommunalité
Maires de France
Solutions locales
janvier 2021
Numérique, réseaux sociaux

Trois stratégies pour faire face aux cyberrisques

Face à des attaques informatiques aux effets de plus en plus dévastateurs, la cyber­sécurité n'est plus une option. Quelle que soit la taille de la commune. Par Olivier Devillers

Illustration
© Soluris
En Charente-Maritime, le syndicat informatique Soluris dispense à l'attention de ses collectivités adhérentes des formations sur la mise en conformité des données personnelles et la cybersécurité.
Les attaques informatiques touchent de plus en plus de collectivités. Celles par rançongiciel peuvent paralyser totalement le système d’information et perturber durablement le fonctionnement des services. Ces attaques ne sont cependant pas une fatalité. Les solutions préventives passent par des investissements mais aussi et surtout par l’acquisition des bons réflexes. Zoom sur trois exemples.  

. Former tous les personnels
Vannes (Morbihan, 53 300 hab.)

En 2016, la commune a subi une attaque par rançongiciel. « Cinq agents, ayant cliqué malencontreusement sur un fichier infecté ont vu leur poste de travail paralysé. On nous demandait une rançon de 20 000 euros pour les récupérer », raconte Anne le Hénanff, première adjointe au maire chargée du numérique (lire ci-contre). Si les dommages ont été somme toute limités – la ville ayant évité la propagation du virus au sein de la collectivité –, l’événement aura servi de leçon. « J’étais alors une élue au numérique très enthousiaste sur la dématérialisation et je me suis rendu compte qu’il fallait revoir nos priorités. » C’est en faisant valoir les risques sur les données personnelles – on parlait alors beaucoup de l’arrivée du règlement général de la protection des données (RGPD) – que l’élue a réussi à convaincre le maire et le directeur général des services d’investir massivement dans la sécurité. La ville a désormais un responsable de la sécurité des systèmes d’information (RSSI) par lequel transitent tous les projets informatiques. Les marchés publics comportent systématiquement une clause « sécurité ». Mais l’effort principal a porté sur la formation des agents et des élus. Les premiers ont bénéficié d’une demi-journée de formation pour les sensibiliser aux risques informatiques et aux bons réflexes (mots de passe, pièce jointe, etc.). Tous les personnels ont été formés, y compris ceux qui n’avaient pas de postes informatiques attitrés, car «il s’agit d’acquérir une culture commune de la cybersécurité ». Quant aux élus, ils ont été formés sur des sessions d’1h30. Pour éviter qu’ils ne mélangent la sphère municipale avec leurs activités personnelles ou professionnelles, un espace élu a été créé où ils peuvent retrouver, à l’aide de la tablette fournie par la ville, tous les documents liés à la vie de la collectivité. Comme les agents, ils doivent signer une charte d’usage des outils informatiques les engageant à une utilisation responsable des outils et logiciels mis à leur disposition.  
 

. Le cloud pour sécuriser les données
Saint-Paul-en-Jarez (Loire, 4 800 hab.)

La particularité de Saint-Paul-en-Jarez est d’avoir été une victime collatérale… de son prestataire informatique. En ce lundi matin de janvier 2020, la dizaine d’agents s’est retrouvée face à des fichiers cryptés impossibles à ouvrir. Des fichiers stockés sur un serveur central dont l’outil de télémaintenance, utilisé par le prestataire, avait été piraté. «Lorsque nous l’avons appelé, il nous a dit : «Ah, vous aussi… », explique le responsable informatique. L’attaque exploitait une faille logicielle de dimension mondiale comme l’enquête de l’unité cybersécurité de la gendarmerie l’a révélée. Tout d’abord, l’enjeu était d’assurer la continuité des services. Or, la ville s’est rendu compte que les sauvegardes étaient aussi inexploitables. Elle a dû son salut au hasard : une sauvegarde était tombée en rade et n’était plus connectée au serveur. Le prestataire a pu ainsi récupérer toutes les données antérieures à janvier 2019. «Cela faisait un an de perdu mais comme les mails n’ont pas été touchés, nous avons pu récupérer une bonne partie des données », explique le responsable informatique. Par ailleurs, la collectivité a mesuré les mérites des offres SAAS (logiciels en location, hébergés à distance), qui ont permis aux ressources humaines de continuer à travailler sans encombre. La mairie a du reste décidé de passer la majeure partie des logiciels métiers en SAAS, «l’exigence de sauvegarde et de sécurité reposant sur l’éditeur ». De plus, la ville s’est dotée d’une sauvegarde supplémentaire. «Nous avions eu un incendie dans un bâtiment, ce qui nous avait conduits à avoir une sauvegarde à l’extérieur. Notre prestataire nous avait préconisé de prendre une sauvegarde en ligne en décembre 2019 mais le sinistre est arrivé avant… », regrette le technicien. La mairie a dû aussi changer de serveur (coût : 8 000 e) et a surtout commandé un audit de sécurité. «Nous souhaitons avoir un avis extérieur car notre prestataire, quand il propose des conseils, est à la fois juge et partie. »  
 

. Utiliser le RGPD comme levier  
Soluris (Charente-Maritime, 500 membres)

Le syndicat mixte informatique Soluris accompagne les communes pour les équiper et passer à la dématérialisation. Si la sécurité est une préoccupation quotidienne du syndicat pour toutes les applications qu’il déploie, les règles «d’hygiène informatique » ne sont pas toujours évidentes à faire comprendre aux élus. «Si la protection de la mairie par une serrure et une alarme relève de l’évidence, c’est plus compliqué pour l’informatique où l’élu visualise difficilement le risque d’intrusion », explique Vincent Coppolani, nouveau vice-président à la cybersécurité de Soluris. Dit autrement, la sécurité informatique bute souvent sur l’adoption du budget et c’est, hélas, souvent après une cyberattaque que les investissements longtemps reportés sont réalisés. «Le règlement général de la protection des données (RGPD) a changé la donne car désormais, la protection des données personnelles est une obligation légale. Tout manquement est lourdement sanctionné par la loi. Nous nous sommes donc appuyés sur le RGPD pour débuter le chantier de la cyber­sécurité », explique l’élu. Il est vrai que le RGPD partage, avec la cybersécurité, des objectifs communs (protéger des données et des systèmes) et un mode organisationnel. En désignant comme DPD Soluris (en réalité plusieurs agents), beaucoup de communes font ainsi un premier pas dans la mise en œuvre d’un plan de cyber­sécurité. La cartographie des applications, et notamment de celles qui traitent des données personnelles (état civil, enfance, aide sociale, etc.), permet d’identifier celles qu’il faut d’abord sécuriser. Le syndicat mutualise ensuite l’acquisition d’outils et de solutions sélectionnés pour leur fiabilité.
 
Avis d'expert
Anne le Hénanff, 1re adjointe au maire de Vannes,
en charge de la performance de l’action publique et de la transformation numérique
« Les interco ont un rôle central à jouer »
« Lorsqu’en 2016, la ville de Vannes a été victime d’un rançongiciel, je me suis rendu compte que les collectivités, et surtout les plus petites d’entre elles, étaient très démunies pour faire face à une cyberattaque. Et si nous avons eu la chance de récupérer 95 % de nos données, cela n’a pas été le cas de certaines communes voisines victimes du même rançongiciel. C’est à partir de cette expérience qu’est née l’idée d’un guide destiné aux élus. Sous l’impulsion de l’ANSSI, nous avons constitué un groupe de travail associant plusieurs collectivités bretonnes et le guide, cosigné par l’ANSSI et l’AMF, a été publié le 20 novembre. Il propose une trentaine de recommandations pratiques pour aider les élus à bâtir une stratégie de cyber­sécurité. Les intercommunalités ont un rôle central à jouer pour mutualiser les compétences et les moyens nécessaires à cette politique. Le guide insiste aussi beaucoup sur la formation des agents, la plupart des cyber­attaques ayant pour origine une défaillance humaine. »
 
 
Des ressources contre la cybermalveillance

Le site gouvernemental www.cybermalveillance.gouv.fr propose des ressources sur la cybersécurité destinées au grand public comme aux organisations. Des fiches pratiques permettent de comprendre les menaces informatiques et d’adopter les bons réflexes (mots de passe, sauvegardes, réseaux sociaux, séparation des sphères privée et professionnelle, etc.). En cas d’attaque, la rubrique «assistance » aidera à réaliser un premier diagnostic. En fonction de la nature de l’incident, elle proposera d’entrer en contact avec les entreprises spécialisées les plus proches de la collectivité. 
Couverture

Cet article a été publié dans l'édition :

n°386 - JANVIER 2021
Retrouver tous les articles de ce numéro :
Les offres d’abonnement
Toutes les éditions
Logo

Maires de France est le magazine de référence des maires et élus locaux. Chaque mois, il vous permet de décrypter l'actualité, de partager vos solutions de gestion et vous accompagne dans l'exercice de votre mandat. Son site Internet, mairesdefrance.com, vous permet d’accéder à toute l'information dont vous avez besoin, où vous voulez, quand vous voulez et sur le support de votre choix (ordinateur, tablette, smartphone, ...).