Cybersécurité : comment Fumel a évité le pire
Victime d'une cyberattaque en octobre dernier, la commune (5 154 habitants, Lot-et-Garonne) a bénéficié de l'aide du centre de gestion pour rétablir ses services rapidement.
Le premier réflexe des techniciens a été de déconnecter les ordinateurs du réseau pour éviter toute propagation. Mais l’ampleur des dégâts se révèle rapidement. La quarantaine de postes informatiques est touchée, «y compris nos photocopieurs », précise l’élu. Le serveur municipal devra être changé. Les pirates ont mené leur assaut méthodiquement : «Il y a eu des centaines d’attaques qui ont été envoyées contre notre système. Les pare-feux ont fonctionné un certain temps et ils ont fini par lâcher » après environ 1 400 à 1 500 tentatives d’intrusion. Ils sont ensuite «rentrés sur notre serveur puis sur tous nos ordinateurs », décrit le maire.
Selon les experts venus au secours de la collectivité (le centre de gestion – lire-ci-dessous– et les experts dépêchés par l’assureur – lire ci-dessous), c’est une faille de sécurité qui a été exploitée sur des équipements réseaux installés par Orange. «Orange avait pourtant été alerté à deux reprises sur la nécessité d’effectuer les mises à jour », fulmine Jean-Louis Costes. Dit autrement, la mairie a été victime d’une attaque par la «supply chain » (la chaîne d’approvisionnement numérique), selon la terminologie des experts en cybersécurité, et non pas à la suite d’un clic malheureux d’un agent sur un mail piégé. Un type d’attaque qui doit inciter les collectivités à vérifier la politique cyber de leurs prestataires.
Une assurance cyber bienvenue
Pendant trois semaines, la mairie de Fumel a été contrainte de fonctionner au ralenti, tous les postes devant être reformatés. En attendant, les agents se sont relayés sur les postes progressivement nettoyés. Heureusement, la commune bénéficiait de la «sauvegarde déportée » proposée par le centre de gestion du Lot-et-Garonne, et la plupart des données métier ont pu être vite restaurées. Le service de l’état civil, connecté au serveur national, a pu continuer de délivrer cartes d’identité et passeports normalement. En revanche, les fichiers bureautiques laissés sur les ordinateurs des agents, dont certains contenaient des données personnelles, ont été perdus.
« Le plus problématique a été l’impossibilité de gérer les finances car en cas d’attaque, la Direction générale des finances publiques isole la collectivité attaquée de son réseau », explique le maire. Résultat : «Impossible de faire le moindre mandat, de payer une entreprise et, par conséquent, de faire les paies des agents. » Par «chance », l’attaque s’est produite en début de mois, les agents venaient d’être réglés. Pour les fournisseurs, la situation a été gérée au cas par cas car «dans un marché public, si vous dépassez la date de paiement, vous avez des pénalités », rappelle l’élu. Certaines petites entreprises ne pouvaient pas attendre. La commune a donc décidé de passer quelques mandats manuels, notamment pour une facture de 80 000 euros.
Le coût de l’attaque s’élève à 50 000 euros, «sans compter, bien sûr, le travail des agents ». Opportunément, la collectivité avait souscrit, un an auparavant, une assurance cyber pour «un peu plus de 2 000 euros » annuels. L’assureur a mis la mairie en relation avec une société spécialisée pour reformater les postes et a pris en charge le remplacement du serveur. La mairie a porté plainte à la gendarmerie et la fuite de données a été signalée à la Commission nationale de l’informatique et des libertés (CNIL). Le message du maire à ses pairs est sans équivoque : «Franchement, assurez-vous ! En tant que petite commune, on ne s’imagine pas être un jour victime d’une cyberattaque. Alors qu’en fait, ça peut arriver à tout le monde. »
« Nous avons pu restaurer les données en quelques heures »
Nous accompagnons les collectivités qui n’ont pas de compétences en la matière et les aidons à s’équiper. Concrètement, nous mettons à leur disposition des antivirus évolués et, surtout, des sauvegardes déportées. Mais nous ne nous contentons pas de fournir des outils : nous les supervisons au quotidien. Quand une alerte apparaît, nous contactons la collectivité pour vérifier s’il y a un problème réel. C’est un service de veille permanente, essentiel pour des petites communes qui n’ont pas de service informatique dédié.
• Quelle aide avez-vous apportée à Fumel après la cyberattaque ?
Le jour de l’attaque, j’ai été appelé à 9h17 : leur serveur était chiffré. Ma première action a été de vérifier nos sauvegardes déportées : elles étaient intactes. Je me suis ensuite déplacé immédiatement pour faire le relais avec les experts de l’assureur. Grâce aux sauvegardes, nous avons pu restaurer les données très vite. Puis la mairie nous a demandé de coordonner toute la remise en état du système, même si ce n’était pas prévu contractuellement. Ici, tout s’est plutôt bien passé, ce qui n’est pas toujours le cas.
• Comment s’organise l’accompagnement local sur le cyber ?
Nous faisons partie du centre de ressources cyber du Lot-et-Garonne, qui réunit notamment le représentant local de l’Agence nationale de la sécurité des systèmes d’information (Anssi, https://cyber.gouv.fr), le département, la gendarmerie, la chambre de commerce et d’industrie et des entreprises du Campus Numérique 47. Nous faisons le point régulièrement pour coordonner nos actions et évaluer la menace. Cette organisation départementale, articulée au campus cyber de Nouvelle Aquitaine (lire ci-dessous), est assez unique en France. C’est une organisation pionnière que l’État voudrait répliquer dans d’autres territoires.
1 Isoler l’attaque. Couper internet (routeur/box) et débrancher les câbles réseaux des machines infectées. Débrancher en priorité les sauvegardes. Ne jamais éteindre les ordinateurs : ils contiennent les preuves. Alerter tous les agents pour qu’ils ne touchent à rien. Installez une cellule de crise avec le prestataire informatique.
2 Tracer et NOTER dans un cahier les heures, les actions, les personnes. Photographiez les écrans, conservez les messages suspects. Cette main courante servira à la gendarmerie.
3 Se faire aider. S’appuyer sur les centres régionaux de réponse aux incidents (www.cert.ssi.gouv.fr/csirt/csirt-territoriaux), les structures de mutualisation (CDG, syndicats…) ou Cybermalveillance.gouv.fr. Contacter aussi l’assureur.
4 Signaler. Déposer plainte en gendarmerie sous 72h ou via 17Cyber.gouv.fr. Déclarer à la CNIL (www.cnil.fr) si des données personnelles ont été exfiltrées (état civil, listes nominatives…).
5 Ne jamais payer la rançon. Recommandation absolue de l’Anssi. Le paiement ne garantit rien et finance les criminels. Les gendarmes ont parfois des solutions de déchiffrement.
Le 17Cyber comme point d’entrée
Le 17Cyber est l’équivalent numérique de l’appel d’urgence 17. Lancé par le ministère de l’Intérieur avec Cybermalveillance.gouv.fr en décembre 2024, ce «guichet unique » d’assistance en ligne est accessible gratuitement 24h/24 et 7j/7 via 17cyber.gouv.fr
Pour les maires, il constitue le premier recours en cas de cyberattaque avérée. Le service propose un diagnostic rapide et des conseils personnalisés. Un accompagnement par tchat avec un policier ou un gendarme aide les communes à porter plainte, la pré-plainte étant indispensable pour faire jouer l’assurance.
Cet outil s’appuie sur la plateforme cybermalveillance pour l’assistance technique. Celle-ci aiguille la collectivité vers des prestataires spécialisés, chaque type d’attaque demandant la mobilisation d’expertises spécifiques. En Nouvelle-Aquitaine, le 17Cyber est coordonné avec le Campus régional de cybersécurité et de confiance numérique, le centre de réponse à incident (C-Sirt) local (www.campuscyberna.fr). Cette articulation n’existe pas dans toutes les régions.