II. UN DISPOSITIF DE CYBERPROTECTION PUBLIQUE DÉVELOPPÉ MAIS PEU ACCESSIBLE AUX PETITES COLLECTIVITÉS TERRITORIALES
A. UN BOUCLIER EFFICACE POUR LES CYBERATTAQUES CONCERNANT LES ENTITÉS DE GRANDE TAILLE
Il s'articule autour de l'Agence nationale de la sécurité des systèmes d'information ( ANSSI ) et d'un réseau de CERT ( Computer Emergency Response Team ) , organismes officiels chargés d'assurer des services de prévention des risques et d'assistance aux traitements d'incidents. Ces CERT sont des centres d'alerte et de réaction aux attaques informatiques, dont les informations sont accessibles à tous.
L'objectif du volet cybersécurité de France Relance , lancé en septembre 2020 et dont le pilotage a été confié à l'ANSSI, doit renforcer la sécurité des administrations, des collectivités, des établissements de santé et autres organismes publics, tout en dynamisant l'écosystème industriel français.
Doté d'un fonds de 136 millions d'euros , il comprend :
- un parcours de cybersécurité ayant pour objectif de renforcer la sécurité des systèmes d'information des bénéficiaires en proposant un pré-diagnostic et un accompagnement par des prestataires compétents, de la maîtrise d'ouvrage jusqu'à la mise en oeuvre ;
- des appels à projets , pour certaines collectivités territoriales dont le niveau de cybersécurité est suffisamment mature et le besoin assez clair pour que le projet soit mené hors du cadre des « Parcours de cybersécurité ». Basés sur le cofinancement et destinés à sécuriser des systèmes d'information existants, ces projets peuvent être des prestations d'audit, d'analyse de risque, d'acquisition et de déploiement de produits... ;
- le réseau des CSIRT régionaux ( Computer Security Incident Response Team ), centres de réponse aux incidents cyber au profit des entités implantées sur le territoire régional, devra traiter des demandes d'assistance des acteurs de taille intermédiaire, dont les collectivités territoriales, et les mettre en relation avec des partenaires de proximité : prestataires de réponse à incident et partenaires étatiques.
B. LA PRÉVENTION ET L'ASSISTANCE AUX VICTIMES
Depuis 2017, la plateforme Cybermalveillance.gouv.fr , du GIP ACYMA, dispositif national de sensibilisation, prévention et assistance aux victimes d'actes de cybermalveillance pour les particuliers, entreprises et collectivités territoriales, est porté par un partenariat public-privé . Outre l'ANSSI et les principaux ministères, cette plateforme rassemble de nombreux acteurs de la société civile comme des associations de consommateurs ou d'aides aux victimes, des représentations professionnelles de type fédération ou syndicat, des assureurs, des opérateurs, des éditeurs de logiciels...
Face à la recrudescence des cyberattaques contre les collectivités territoriales, Cybermalveillance.gouv.fr a créé un groupe de travail dédié à ce public composé de l' ANSSI , l' AVICCA , la Banque des Territoires , le CoTer Numérique et Déclic , et lancé un programme de sensibilisation à destination des élus.
Il comporte trois étapes :
1. Étape une : « Menaces et réflexes essentiels pour la sécurité numérique des collectivités »
Cybermalveillance.gouv.fr répond aux questions de deux maires sur les principales menaces numériques rencontrées par les collectivités et leurs conséquences, en apportant des conseils sur les premiers gestes essentiels à adopter en sécurité numérique .
La première menace à laquelle les collectivités territoriales et leurs établissements publics sont exposés est l'hameçonnage , mail frauduleux destinés à tromper la victime pour l'inciter à communiquer des données personnelles et/ou bancaires en se faisant passer pour un tiers de confiance, qui représente près d'un quart des demandes d'assistance du dispositif Cybermalveillance.gouv.fr, suivi du piratage de comptes en ligne et des rançongiciels .
2. Étape deux : « Vigilance face aux cyberattaques : les collectivités sont toutes concernées ! »
Le site publie deux témoignages de communes victimes de différentes formes de cyberattaques , suivis de conseils pour permettre aux collectivités de mieux s'armer et anticiper les risques.
a) Témoignage d'une commune de 20 000 habitants - attaque par rançongiciel
« Durant un week-end en plein été, le réseau informatique de notre commune de 20 000 habitants a été attaqué par un rançongiciel. Les pirates auraient réussi à pénétrer dans notre réseau par nos accès ouverts pour le télétravail. Une grande partie de nos informations était bloquée et les services municipaux se sont retrouvés à l'arrêt. Les pirates réclamaient une rançon de plusieurs dizaines de milliers d'euros et menaçaient de publier des informations qu'ils nous auraient volées ce qui peut porter préjudice à nos administrés . Nous avons refusé de payer et déposé plainte, mais il a fallu plusieurs semaines pour revenir à un fonctionnement à peu près normal. Heureusement toutes nos sauvegardes n'ont pas été détruites ce qui nous a permis de récupérer une partie de nos données. Nous ne pensions pas être un jour la cible d'une telle attaque. Cela nous a servi de leçon et nous allons maintenant devoir revoir notre niveau de sécurité informatique ».
b) Témoignage d'une commune de 5 000 habitants - attaque par défiguration7 ( * ) de site Internet
« Un week-end, nous avons été informés par des administrés que le site Internet de notre commune de 5 000 habitants avait été modifié par des pirates et affichait des messages insultants. Nous avons déposé plainte et dû faire intervenir un prestataire spécialisé car nous ne trouvions pas la cause de cette attaque qui revenait en permanence . Ces spécialistes ont découvert que les pirates avaient pris le contrôle complet de notre site et volé tous nos mots de passe . Ils auraient réussi à s'introduire sur le site par une faille de sécurité dans un de ses modules qui n'avait pas été mis à jour depuis plus de 5 ans. »
c) Témoignages à l'occasion de la table ronde organisée le 28 octobre 2021
La table ronde organisée au Sénat le 28 octobre 2021 met en exergue la gravité des conséquences en cas de cyber-attaques ciblant des collectivités territoriales.
Ainsi, M. Cyril Bras, Vice-président de l'Institut pour la cybersécurité et la résilience des territoires, témoigne : « À Oloron Sainte-Marie, la station d'épuration a été impactée par une cyberattaque ».
De même, Mme Marie Nedellec, Adjointe au Maire de La Rochelle illustre la situation : « La cyberattaque ne permettait plus d'utiliser les parkings souterrains de la ville alors que nous étions en pleine période de festivité. En effet, les barrières des parkings sont gérées de manière informatique par le système de la commune de la Rochelle. Le service d'état civil ne fonctionnait plus. Les ressources humaines étaient bloquées. Nous ne pouvions même plus inhumer durant une semaine des personnes dans les cimetières de La Rochelle. ". (...) . Cette attaque nous a mis en difficulté en tant que collectivité qui a dû travailler au papier et au crayon durant quatre semaines, et dans la relation aux citoyens en diminuant leur confiance vis-à-vis de l'équipe municipale. (...) « Nous avons enregistré des pertes financières étant donné que la piscine, les musées et les parkings n'étaient plus accessibles le temps de restaurer le système ».
Enfin, M. Alexandre Ouzille, Premier-adjoint au Maire de Villers-Saint-Paul relève : « Nous n'étions pas protégés contre ce type d'attaque et nous avons perdu l'ensemble des données informatiques, de ressources humaines et financières ».
3. Étape trois : Sensibilisation aux risques numériques : les collectivités se mobilisent
Sensibiliser est à la portée de tous , il existe une multitude d'actions possibles en fonction de ses moyens et de sa maturité sur le sujet. Ces actions sont répertoriées sur le site cybermalveillance.gouv.fr :
• Vidéos de sensibilisation sur les risques numériques
• Campagne de sensibilisation inter-régions sur la cybersécurité
• Supports pour résumer les premiers gestes en cas d'attaque
• I.M.M.U.N.I.T.É.Cyber : questionnaire pour sensibiliser les élus à la cybersécurité . L'évaluation proposée par ce questionnaire repose sur dix questions simples, pour permettre à chaque élu de mesurer lui-même le niveau de cyberprotection mis en place au sein de sa collectivité. Le formulaire d'évaluation a été adressé par l'AMF à ses adhérents début septembre 2021.
Une newsletter permet aux élu(e)s de se tenir informé(e)s de l'actualité de la cybermalveillance et des nouvelles menaces.
Plusieurs collectivités ont entrepris des initiatives en matière de sensibilisation, soit qu'elles aient participé à la table ronde au Sénat le 28 octobre dernier, soit qu'elles soient citées sur le site cybermalveillance.gouv.fr :
a) Témoignage de la commune de Longueil Sainte Marie (60)
« L'actualité récente a montré qu'une prise de conscience des collectivités locales face aux enjeux de la cybersécurité était nécessaire. Dans ce contexte, la mairie de Longueil Sainte Marie (60) a souhaité engager des actions pour connaître, dans un premier temps, son niveau de sécurité, puis dans un second temps, mettre en place les mesures correctives nécessaires.
Accompagnés par l'Association pour le développement et l'innovation numérique des collectivités (Adico), nous avons préparé un dossier d'homologation au RGS (Référentiel Général de Sécurité). Cette étude a permis de cartographier notre système d'information et de procéder à une analyse de risques sur l'ensemble de son périmètre. En disposant de cette vision globale, nous avons pu définir un plan d'action qui permet de réduire les risques. Concrètement, cela se traduit essentiellement par de la sensibilisation et nous envisageons notamment de réaliser des campagnes de faux mails d'hameçonnage afin d'accroître la vigilance des agents et des élus.
Au terme de cette étude, un arrêté d'homologation a été pris. À l'instar des démarches menées dans le cadre de notre mise en conformité au RGPD, cette décision représente un engagement éthique auprès de nos administrés. À l'entrée de la mairie, un autocollant est même affiché pour que les usagers puissent facilement comprendre qu'ils entrent dans un environnement de confiance numérique. »
b) Témoignage de la ville de La Rochelle (17)
« L'agglomération de la Rochelle, dans le cadre de ses services mutualisés travaille depuis plusieurs années à l'amélioration continue de sa cybersécurité.
Ainsi, une charte à destination de la communauté d'agglomération et de la ville de La Rochelle est en cours de rédaction à destination de tous les acteurs utilisant les Systèmes d'Information (élus, agents, personnel non permanent...) pour protéger les valeurs de nos collectivités : la disponibilité et la qualité du service public, le respect des obligations légales, la confidentialité et l'intégrité des données sensibles, la protection des investissements, la valorisation de l'image et la préservation de l'environnement.
De plus, nous mènerons des campagnes de sensibilisation pour présenter la charte et ses bonnes pratiques à l'ensemble de nos collaborateurs.
Nous envisageons également de créer un parcours de sensibilisation pour les nouveaux arrivants d'une demi-journée autour de questions très pragmatiques : Où est-ce que je dois stocker mes données pour qu'elles soient sauvegardées ? Pourquoi est-il primordial d'éteindre ses équipements le soir ? Comment je peux déclarer un incident ? Et donner des conseils sur la gestion des mots de passe, les mails malveillants, les usages pro-perso, la protection de la vie privée, etc.
Enfin, il nous semble important de former spécifiquement les acteurs manipulant des données dites « sensibles » sur une journée complète avec des exercices et une évaluation finale. »
c) Témoignage de la ville de Vannes (56)
« Il ne faut pas perdre de vue que 80 % des risques cyber sont liés à l'humain et que 90 % des menaces proviennent d'un mail frauduleux, technique appelée hameçonnage (phishing en anglais). Face à ces constats, nous avons décidé de former en ligne tous nos agents et élus pour leur apprendre à déjouer les pièges des e-mails malveillants. Puis, notre responsable de la sécurité des systèmes d'information (RSSI) a lancé une campagne intensive de faux mails d'hameçonnage sans information préalable. Le résultat : 23 % des agents ont manqué de vigilance et cliqué. Nous avons décidé d'inscrire la campagne dans la durée. Et les résultats sont très encourageants ! Le taux de clics a considérablement baissé, de 23 % à 6 % en un an. C'est une très bonne nouvelle pour la collectivité. »
d) Témoignage de la commune de Tillières-sur-Avre (27)
« Même nos petites communes peuvent être victimes de cybermalveillance, comme le vol de données, le piratage avec demande de rançon, etc. Faire connaître la plateforme de prévention et d'assistance Cybermalveillance.gouv.fr au plus grand nombre est indispensable afin que les agents des collectivités sachent vers qui se tourner en cas de cyberattaque. De plus, la sensibilisation aux bonnes pratiques en matière de sécurité numérique avec l'affichage de conseils a permis d'initier au sujet en interne et susciter des questionnements. »
e) Témoignage de Toulouse Métropole (31)
« Lors de l'attaque des sites institutionnels de la ville de Toulouse en mai dernier, nous avons dû mettre en place en urgence une cellule de gestion de crise. Fin 2020, la vague d'attaques EMOTET ne nous a pas épargnés, cependant, nous étions davantage préparés. Notre partenaire, Orange CyberDefense (OCD) nous a accompagnés pendant une quinzaine de jours dans l'organisation, les prises de décisions et le management des opérations (techniques, communication, etc.). Ce retour d'expérience nous a permis de consolider notre dispositif et d'identifier les points à améliorer. En parallèle, nous avons poursuivi les actions de remédiation et d'amélioration de nos infrastructures, de nos outils de détection et d'analyse. Nous sommes actuellement en train de réaliser un guide sur la gestion de crise au sein de la collectivité et nous allons organiser prochainement un exercice de gestion de crise cyber pour entraîner nos agents et nous préparer. »
f) Témoignage de Rochefort Habitat Océan (17)
« Suite au renouvellement de la flotte informatique (postes et serveurs) début 2016, l'Office a souhaité réaliser un audit de sécurité afin de renforcer le pilotage du Système d'Information (SI). Avec le soutien de SOLURIS, une analyse de risques a été réalisée pour déterminer la criticité des applications métiers et identifier les vulnérabilités du système d'information pour pouvoir apprécier les risques et les traiter si nécessaire. Dans ce cadre, le Référentiel Général de Sécurité (RGS) a été mis en oeuvre afin d'appliquer les bonnes pratiques de gestion de la sécurité pour le Système d'Information.
La sensibilisation du personnel est apparue comme un axe essentiel afin que chaque utilisateur prenne conscience des enjeux en matière de sécurité et de vie privée. Plusieurs actions sont menées en ce sens.
Afin d'accompagner la mise en place d'une charte informatique opposable, un travail impliquant les collaborateurs a été engagé en 2018/2019 sur les pratiques essentielles de sécurité à mettre en oeuvre au quotidien. Ce travail a permis d'élaborer une affiche distribuée et expliquée au personnel lors d'un petit déjeuner de travail. Ce document est diffusé à chaque nouvel arrivant lors de sa prise de poste.
Chaque année, des actions de sensibilisation sont
menées.
Chaque trimestre, une newsletter est diffusée pour
rappeler une bonne pratique ou attirer l'attention sur un risque informatique.
Par exemple en septembre 2020, la newsletter « Les mots de passe, c'est un
peu comme les brosses à dents » a permis de faire un rappel
des règles relatives à la gestion des mots de passe.
Annuellement, une réunion de sensibilisation est organisée avec le soutien de SOLURIS. En 2020, les agents de proximité et les responsables d'immeubles qui venaient d'être dotés de téléphones portables ont pu être sensibilisés aux cybermenaces et prendre connaissance des pratiques de sécurité à mettre en oeuvre sur les smartphones.
Un groupe de travail « sécurité informatique » composé de 4 collaborateurs et du référent sécurité de l'Office a été créé en 2017. Ce groupe de travail suit les plans d'actions annuels portant sur la sécurité informatique et la protection des données, rédige les newsletters et s'assure de l'acceptabilité et de la mise en oeuvre des règles de sécurité auprès du personnel. »
* 7 La défiguration est le signe visible qu'un site internet a été attaqué et que le cybercriminel en a obtenu les droits lui permettant d'en modifier le contenu. En plus du risque de vol de données personnelles / bancaires, ce type d'attaque peut porter atteinte à l'image de la collectivité auprès des citoyens.