Pratique
08/09/2021
Numérique, réseaux sociaux Sécurité - sécurité civile

Cyberattaques : comment se prémunir du pire

Les communes de toutes tailles sont ciblées par des cyberattaques et des rançongiciels aux lourdes conséquences. Nos conseils pour s'en protéger.

Si le nombre précis de collectivités victimes de cyberattaques est inconnu de l’Agence nationale de la sécurité des systèmes d’information (Anssi), les quelques chiffres disponibles indiquent qu’ils «explosent » : 192 attaques par rançongiciels ont été notifiées à l’Anssi en 2020, soit un nombre multiplié par quatre par rapport à 2019 avec, pour premières victimes, des hôpitaux publics et des collectivités.

Les plus petites parmi ces dernières ne sont pas épargnées par un phénomène qui prend un caractère «industriel », touchant absolument tout le monde, comme le relève le rapport annuel de l’agence.

Identifier les risques

Parmi les attaques particulièrement dommageables pour les communes, on mentionnera tout d’abord la fraude à l’identité. Le groupement d’intérêt public (GIP) Cybermalveillance mentionne le cas d’un maire dont l’adresse Gmail a été piratée. À partir de ce compte de messagerie, le criminel a pu contacter tout le carnet d’adresses de l’élu pour solliciter un don invoquant la crise du Covid-19. Mais le RIB joint était bien évidemment celui du criminel. 

Autre exemple cité : un mail se faisant passer pour un prestataire de la collectivité sollicitant le paiement d’une facture prétendument impayée. Ce type d’attaque a des conséquences financières réelles mais peut être contré par un logiciel de filtrage et des actions de sensibilisation au risque d’« hameçonnage ».

Rançongiciels

Les attaques par rançongiciel sont beaucoup plus destructrices. Ces cryptovirus paralysent totalement le fonctionnement de la commune en empêchant l’accès à l’informatique. Tous les fichiers sont cryptés par une clé que les pirates cherchent à monnayer selon un montant calculé en fonction des moyens financiers de la collectivité. «Une rançon qu’il ne faut payer en aucun cas », rappelle l’Anssi car «leur paiement encourage les attaques sans pour autant garantir que la collectivité retrouvera ses données et ne sera pas à nouveau attaquée. »

Ces rançongiciels, comme le rappelle Cybermalveillance (lire l’avis d’expert ci-contre) peuvent paralyser durablement les services à la population (état civil, affaires scolaires, cimetières…), le fonctionnement des services (retards dans le paiement des agents, dossiers à l’arrêt) et l’encaissement de recettes (stationnement, marchés, cantines…).

Colmater les failles

Contrairement à une idée reçue, ces attaques ne sont que rarement liées à un clic malencontreux sur un courriel ou sur sa pièce jointe. Dans 80 % des cas, selon Cybermalveillance, les pirates exploitent des failles du système d’information – ordinateurs, logiciels, équipements réseaux ou serveurs… –, et les humains qui peuvent aussi être manipulés ! Ces failles sont «autant de portes » vers les données et les infrastructures numériques de la collectivité. Colmater ces failles de sécurité des logiciels passe par la mise à jour des applications, sans oublier celles du site internet, de l’imprimante ou les applications installées sur les smartphones.

Droits restreints de paramétrage des ordinateurs et logiciels 

Par ailleurs, les droits d’administration pour paramétrer un ordinateur ou un logiciel doivent être restreints. De même, la signature électronique du maire ne doit pas être utilisée par plusieurs personnes. Le mélange des activités professionnelles et personnelles doit être également limité. On ne peut ainsi qu’inciter les communes à se doter d’un nom de domaine et d’un compte de messagerie officiel (mairie-nom-de-la-commune.fr) pour faciliter cette séparation des usages.

Enfin, des règles doivent être imposées sur les mots de passe. Ceux-ci doivent faire au minimum huit caractères, utiliser des lettres, des chiffres et des caractères spéciaux. Ils doivent surtout être spécifiques à un seul usage, ne jamais être affichés ou partagés, et être renouvelés régulièrement. Toutes ces règles peuvent être transcrites dans une charte informatique et se traduire par des actions de sensibilisation.

Multiplier les sauvegardes

La sauvegarde des données et logiciels de la collectivité est stratégique car c’est elle (et sa récence) qui déterminera le temps nécessaire à la restauration du système d’information en cas d’attaque par rançongiciel. Au Grand Cognac (Charente, 56 communes) par exemple, il a fallu que la collectivité aille rechercher des pièces jointes à des mails pour reconstituer des dossiers cryptés… Ces sauvegardes doivent être multiples, en ligne (cloud) et hors ligne.

« Désormais, explique l’Anssi, les cyberattaquants cherchent à repérer les sauvegardes avant de lancer leur attaque. » Le syndicat Seine-et-Marne numérique, comme l’agglomération de La Rochelle (Charente-Maritime, 28 communes), tous deux victimes d’un rançongiciel en 2020, ont décidé de ressortir la sauvegarde sur bande, plus difficile d’accès pour un hacker. Les collectivités pouvant aussi être victimes de vol ou d’incendie dans leurs locaux, une sauvegarde en dehors de la mairie est vivement recommandée.

Se faire accompagner

 Si quelques règles «d’hygiène informatique » peuvent aider les communes à éviter le pire, la sécurité des systèmes d’information doit être planifiée et pilotée dans la durée. Cela pose bien évidemment la question des moyens, financiers comme humains.

 

260 collectivités étaient accompagnées, en juin 2021, par l’Anssi pour un «parcours cyber ». Il s’agit de les aider à identifier les failles de leur système d’information et à établir un plan d’action. 

 

Bien que de plus en plus dépendantes du numérique, la majorité des petites communes n’ont pas de responsable informatique.

Mutualisation des expertises

Elles peuvent cependant s’appuyer sur une structure de mutualisation (syndicat informatique) proposant une expertise cyber et des solutions mutualisées comme en Charente-Maritime (Soluris), dans les Landes (Alpi) ou encore dans l’Oise (Adico). La commune de Longueil-Sainte-Marie (Oise) a, par exemple, été accompagnée en 2020 par l’Association pour le développement et l’innovation numérique des collectivités (Adico) pour cartographier son système d’information, évaluer les risques et établir un plan d’action.

Appui de la plateforme Cybermalveillance

Que faire là où ces appuis locaux font défaut ? Les communes peuvent s’adresser à la plateforme « cybermalveillance ». Celle-ci propose des guides, un outil de diagnostic en cas de cyber­attaque et une liste de prestataires de confiance. Des relais de terrain sont par ailleurs en cours de mise en place sous l’impulsion de l’État. Tout d’abord, des centres réponse aux incidents informatiques vont voir le jour en 2022 sous la houlette des conseils régionaux et de l’Anssi, pour mettre en place un accompagnement local, ciblant entreprises et collectivités.

Commandement Cyber de la gendarmerie nationale

Par ailleurs, le commandement Cyber de la gendarmerie nationale va être mobilisé pour aider les petites communes à prendre conscience des risques. Et en cas d’attaques, ces quelque 7 000 gendarmes spécialisés aideront les communes à prévenir les autorités – notamment l’Anssi et la Cnil, en cas de fuite de données personnelles – et à porter plainte. Car pour mettre fin au fléau des cyberattaques, il est essentiel que les forces de l’ordre puissent enquêter.

 

60 millions d’euros affectés à la cybersécurité

Le plan de relance a dévolu 60 millions d’euros à la sécurisation des collectivités, notamment pour financer des «parcours cybersécurité ». Ces aides sont cependant réservées aux (grandes) collectivités dotées d’un responsable de la sécurité des systèmes d’information (RSSI). Ceux-ci peuvent cependant être mutualisés au niveau d’un EPCI. En parallèle, des appels à projets ont été lancés pour faire émerger des solutions cyber-mutualisées. 

 

Infos pratiques

cybermalveillance.gouv.fr propose des ressources pour mieux connaître les menaces et les bonnes pratiques. Une rubrique est dédiée aux collectivités territoriales.

• Guide Cybersécurité : toutes les communes et intercommunalités sont concernées coproduit par l’AMF et l’Anssi, qui propose une méthodologie pour prévenir le risque et aider à y faire face. www.amf.asso.fr (réf. BW40406)

• Plan de relance : retrouvez la liste de toutes les aides «cyber » du plan de relance.

 

Jean-Jacques Latour, Responsable de l’expertise du dispositif cybermalveillance.gouv.fr

« Il faut anticiper les risques »

« J’ai pu entendre des collectivités dire : “Nous sommes une petite structure, un service public et nous ne nous sentons pas menacés.” C’est une grave erreur car la question n’est pas de savoir si la collectivité va subir une attaque informatique mais quand ! Il est donc urgent de s’y préparer car les conséquences peuvent être très graves.
Les services publics peuvent être paralysés pendant plusieurs semaines. La collectivité peut subir un manque à gagner en étant incapable d’encaisser des recettes dépendant d’installations informatiques. Elle peut également être sanctionnée au titre du RGPD pour avoir failli à protéger les données confidentielles de ses administrés. La responsabilité personnelle des élus peut enfin être engagée.
Trop souvent, les investissements en matière de sécurité sont réalisés à l’issue d’une cyberattaque. Leur coût est alors beaucoup plus élevé que s’ils avaient été anticipés. Un audit du système d’information – par un prestataire spécialisé référencé sur Cybermalveillance – pourra aider à repérer les principales failles et à les colmater.
Nous sommes là pour les aider à promouvoir les règles de base de l’hygiène informatique qui permettront aux élus d’éviter des attaques. Nous leur apportons aussi un premier niveau d’assistance quand les attaques se produisent. »

 

Olivier Devillers
n°393 - Septembre 2021