Comment La Rochelle, victime d’un rançongiciel a réussi à échapper au pire (17)

C’est au lendemain Noël, un samedi matin, qu’un agent municipal signale une « informatique qui fonctionne de manière aléatoire ». La cyberattaque ne sera cependant formellement identifiée que le lendemain. L’ensemble des serveurs de la ville et de l’agglomération de La Rochelle sont alors débranchés pour éviter que ce qui se révèle être un rançongiciel ne se répande et crypte l’ensemble des données des deux collectivités. Tous les services sont mis à l’arrêt : des finances au stationnement payant (6.000 euros de recette journalière), sans compter l’état civil ou encore les mails que la collectivité mettra 15 jours à retrouver…

Exploitation d’une faille logicielle

L’enquête montrera ultérieurement que l’attaque a été menée en deux temps. Courant novembre 2020, les malfaiteurs ont exploité une faille d’un logiciel Microsoft installé sur un serveur proxy, faisant la passerelle avec internet. « La faille avait été signalée par l’éditeur, la mise à jour était programmée mais il aurait fallu agir immédiatement », raconte Denis Vermot, directeur des systèmes d’information de la ville et de l’agglomération de la Rochelle. Résultat : via les robots lancés par le groupe de cybercriminels pour « scanner internet », ils ont pu repérer cette porte dérobée. Une fois dans la place, ils ont volé des identifiants de connexion au réseau privé virtuel (VPN) donnant accès à l’ensemble du système d’information. Ceux-ci n’ont cependant été exploités qu’en décembre, à une période où les cybercriminels savaient que la collectivité serait moins vigilante.

Un prestataire à la rescousse

Le lundi 28 décembre, consigne est donnée aux agents de ne pas utiliser leur poste informatique. Le papier et le crayon sont de retour au guichet pour recontacter les personnes venues au service de l’état civil. Une cellule de crise est mise en place associant la DSI, la direction générale et l’élue référente au numérique. Cependant, rapidement, eu égard à l’importance de la cyberattaque, le recours à un prestataire spécialisé se révèle indispensable. C’est Orange cyberdéfense (coût : 45.000 euros) qui est missionné pour identifier le virus, mesurer les dégâts et aider à rétablir le système.

Des dégâts finalement limités

« Sans que nous sachions pourquoi, les cybercriminels ne sont restés que 2 heures dans la place et, par chance, ils n’ont touché ni aux serveurs de l’agglomération, ni aux sauvegardes », précise Denis Vermot. Car si les moyens humains sont largement mutualisés, chacun garde ses propres machines et applications. Néanmoins l’ensemble du parc a dû être inspecté. Au total, 53 serveurs sur 160 et 42 ordinateurs sur 900 ont été infectés, tous appartenant à la ville. Des machines vérolées qui ont nécessité un nettoyage avant toute restauration des données. Dès le mardi 29 décembre, le SI de l’agglomération a pu être remis en service, 95 % des services étant rétablis pour la ville en fin de semaine. Néanmoins, un mois a été nécessaire pour un retour complet à la normale.

Sauvés par la sauvegarde

« Nous avons eu la chance de pouvoir compter sur une sauvegarde qui datait du 24 décembre », confie Marie Nedellec, l’élue au numérique de la ville de La Rochelle. Une sauvegarde qui a évité, comme cela s’est produit dans certaines collectivités, de devoir courir après des pièces jointes pour reconstituer des dossiers sinon définitivement perdus. « Par ailleurs, les investigations n’ont pas mis en évidence de fuite de données personnelles, ce qui est un soulagement », poursuit l’élue. Cela n’a pas empêché la collectivité, comme la loi l’impose, de signaler l’incident à la Commission nationale de l'informatique et des libertés (Cnil), à l’Agence nationale de la sécurité des systèmes d'information (Anssi) et de porter plainte. Une plainte qui a permis à la collectivité d’être rassurée : le groupe de cyberattaquants a été identifié peu après par le FBI qui a mis fin à ses attaques.

Investissements et sensibilisation

En attendant, cette cyberattaque a conduit la collectivité à accélérer ses investissements cyber et à se doter d’un plan de reprise d’activité. Une double authentification sur le VPN et une sauvegarde non connectée ont notamment été mises en place. Quant au responsable de la sécurité des systèmes d’information (RSSi), il se voit davantage écouté lorsqu’il transmet des messages en matière de sécurité des mots de passe et autres tentatives d’hameçonnage.