Adopter les bons réflexes en cas de cyberattaque

Selon le ministère de l’Intérieur, les administrations publiques représentaient 20 % des 1 870 plaintes reçues par la police en 2020 à la suite des cyberattaques, un nombre multiplié par 2,7 sur un an (source : enquête InterStat, novembre 2021). Ce chiffre serait cependant loin de la réalité car beaucoup de victimes ne portent pas plainte, par négligence ou par crainte d’être montrées du doigt. Ainsi, la gendarmerie nationale estime que pour 267 cyberattaques réussies, une seule plainte est déposée. Ce défaut de plainte est pourtant préjudiciable à la lutte contre la cybercriminalité.
 

I - Déposer plainte

En déposant plainte, la collectivité est amenée à caractériser l’attaque et les services impactés : intrusion informatique, rançongiciel, piratage de compte de messagerie, virus, défiguration de site internet… Ces statistiques sont utiles pour suivre l’évolution de la sinistralité informatique et mieux organiser la prévention des cyberattaques.

Les assureurs estiment aussi que mieux connaître les risques les aideraient à créer des polices d’assurances adaptées. En effet, les contrats actuels couvrent rarement les risques cyber comme l’ont appris à leurs dépens plusieurs communes victimes de rançongiciel. Et dans tous les cas, un assureur exigera une plainte pour examiner le dossier.
 

II - Solliciter les gendarmes spécialisés

Pour porter plainte, les maires peuvent écrire au procureur de la République du tribunal judiciaire de leur circonscription, se tourner vers leur commissariat de police ou vers la brigade locale de gendarmerie. La gendarmerie, joignable par le 17, ou le site magendarmerie.fr, permet de disposer d’un réseau d’experts cyber locaux et nationaux. Il s’agit des 7 000 gendarmes – portés à 10 000 fin 2022 – de l’unité ComCyberGend dont la mission est, notamment, d’aider la population, les acteurs locaux à prévenir les cyberattaques, et d’accompagner les victimes de cyberdélinquants.

Ces gendarmes sauront orienter les maires vers les bons prestataires techniques, et notamment ceux labellisés par le GIP cybermalveillance. L’accès aux experts de l’Agence nationale de la sécurité des systèmes d’information (Anssi) est, lui, strictement réservé aux opérateurs gérant des activités stratégiques (santé, transports, énergie, eau…) soumis à des obligations cyber spécifiques.
 

III - Agir sans délai

En cas de cyberattaque d’ampleur, telle qu’une intrusion dans le système d’information ou un rançongiciel, il est essentiel de se rapprocher des forces de l’ordre rapidement. Comme lors d’un cambriolage «  physique », les cyberdélinquants laissent en effet des traces numériques que les enquêteurs spécialisés sont susceptibles d’exploiter pour identifier l’origine de l’attaque.

Ces traces serviront aussi de preuves en cas d’arrestation des auteurs, ce qui est plus fréquent qu’on ne le pense. L’analyse permettra enfin de partager l’information – notamment via le réseau CERT (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, lire ci-dessous) – et d’éviter d’autres victimes potentielles.

En revanche, porter plainte plusieurs jours après, quand les machines ont été remises en fonctionnement ou changées, perd  de sa pertinence pour les enquêteurs.
 

IV - Alerter la Cnil

Lorsque la collectivité soupçonne un vol ou une perte de données personnelles (mails, adresses, identifiants, références bancaires…), elle doit obligatoirement alerter la Commission nationale de l’informatique et des libertés (Cnil) dans les 72 heures. De même, les victimes potentielles doivent être informées de la nature de la violation de données, des conséquences possibles et des mesures prises par la mairie pour y remédier. Toutes ces obligations sont prévues par le règlement général sur la protection des données. Cette notification donnera lieu à une enquête de la Cnil, la commission se réservant la possibilité de prononcer d’éventuelles sanctions en cas de négligence de la collectivité.