Trois stratégies pour faire face aux cyberrisques

En 2016, la commune a subi une attaque par rançongiciel. « Cinq agents, ayant cliqué malencontreusement sur un fichier infecté ont vu leur poste de travail paralysé. On nous demandait une rançon de 20 000 euros pour les récupérer », raconte Anne le Hénanff, première adjointe au maire chargée du numérique (lire ci-contre). Si les dommages ont été somme toute limités – la ville ayant évité la propagation du virus au sein de la collectivité –, l’événement aura servi de leçon. « J’étais alors une élue au numérique très enthousiaste sur la dématérialisation et je me suis rendu compte qu’il fallait revoir nos priorités. » C’est en faisant valoir les risques sur les données personnelles – on parlait alors beaucoup de l’arrivée du règlement général de la protection des données (RGPD) – que l’élue a réussi à convaincre le maire et le directeur général des services d’investir massivement dans la sécurité. La ville a désormais un responsable de la sécurité des systèmes d’information (RSSI) par lequel transitent tous les projets informatiques. Les marchés publics comportent systématiquement une clause « sécurité ». Mais l’effort principal a porté sur la formation des agents et des élus. Les premiers ont bénéficié d’une demi-journée de formation pour les sensibiliser aux risques informatiques et aux bons réflexes (mots de passe, pièce jointe, etc.). Tous les personnels ont été formés, y compris ceux qui n’avaient pas de postes informatiques attitrés, car «il s’agit d’acquérir une culture commune de la cybersécurité ». Quant aux élus, ils ont été formés sur des sessions d’1h30. Pour éviter qu’ils ne mélangent la sphère municipale avec leurs activités personnelles ou professionnelles, un espace élu a été créé où ils peuvent retrouver, à l’aide de la tablette fournie par la ville, tous les documents liés à la vie de la collectivité. Comme les agents, ils doivent signer une charte d’usage des outils informatiques les engageant à une utilisation responsable des outils et logiciels mis à leur disposition.  

 

La particularité de Saint-Paul-en-Jarez est d’avoir été une victime collatérale… de son prestataire informatique. En ce lundi matin de janvier 2020, la dizaine d’agents s’est retrouvée face à des fichiers cryptés impossibles à ouvrir. Des fichiers stockés sur un serveur central dont l’outil de télémaintenance, utilisé par le prestataire, avait été piraté. «Lorsque nous l’avons appelé, il nous a dit : «Ah, vous aussi… », explique le responsable informatique. L’attaque exploitait une faille logicielle de dimension mondiale comme l’enquête de l’unité cybersécurité de la gendarmerie l’a révélée. Tout d’abord, l’enjeu était d’assurer la continuité des services. Or, la ville s’est rendu compte que les sauvegardes étaient aussi inexploitables. Elle a dû son salut au hasard : une sauvegarde était tombée en rade et n’était plus connectée au serveur. Le prestataire a pu ainsi récupérer toutes les données antérieures à janvier 2019. «Cela faisait un an de perdu mais comme les mails n’ont pas été touchés, nous avons pu récupérer une bonne partie des données », explique le responsable informatique. Par ailleurs, la collectivité a mesuré les mérites des offres SAAS (logiciels en location, hébergés à distance), qui ont permis aux ressources humaines de continuer à travailler sans encombre. La mairie a du reste décidé de passer la majeure partie des logiciels métiers en SAAS, «l’exigence de sauvegarde et de sécurité reposant sur l’éditeur ». De plus, la ville s’est dotée d’une sauvegarde supplémentaire. «Nous avions eu un incendie dans un bâtiment, ce qui nous avait conduits à avoir une sauvegarde à l’extérieur. Notre prestataire nous avait préconisé de prendre une sauvegarde en ligne en décembre 2019 mais le sinistre est arrivé avant… », regrette le technicien. La mairie a dû aussi changer de serveur (coût : 8 000 e) et a surtout commandé un audit de sécurité. «Nous souhaitons avoir un avis extérieur car notre prestataire, quand il propose des conseils, est à la fois juge et partie. »  

 

Le syndicat mixte informatique Soluris accompagne les communes pour les équiper et passer à la dématérialisation. Si la sécurité est une préoccupation quotidienne du syndicat pour toutes les applications qu’il déploie, les règles «d’hygiène informatique » ne sont pas toujours évidentes à faire comprendre aux élus. «Si la protection de la mairie par une serrure et une alarme relève de l’évidence, c’est plus compliqué pour l’informatique où l’élu visualise difficilement le risque d’intrusion », explique Vincent Coppolani, nouveau vice-président à la cybersécurité de Soluris. Dit autrement, la sécurité informatique bute souvent sur l’adoption du budget et c’est, hélas, souvent après une cyberattaque que les investissements longtemps reportés sont réalisés. «Le règlement général de la protection des données (RGPD) a changé la donne car désormais, la protection des données personnelles est une obligation légale. Tout manquement est lourdement sanctionné par la loi. Nous nous sommes donc appuyés sur le RGPD pour débuter le chantier de la cyber­sécurité », explique l’élu. Il est vrai que le RGPD partage, avec la cybersécurité, des objectifs communs (protéger des données et des systèmes) et un mode organisationnel. En désignant comme DPD Soluris (en réalité plusieurs agents), beaucoup de communes font ainsi un premier pas dans la mise en œuvre d’un plan de cyber­sécurité. La cartographie des applications, et notamment de celles qui traitent des données personnelles (état civil, enfance, aide sociale, etc.), permet d’identifier celles qu’il faut d’abord sécuriser. Le syndicat mutualise ensuite l’acquisition d’outils et de solutions sélectionnés pour leur fiabilité.