Cybersécurité : mutualiser les expertises pour aider les collectivités à se préparer au pire

Le centre interdépartemental de gestion, l'hôpital André-Mignot, les villes de Saint-Cloud, Les Mureaux, Chaville, Houilles… le territoire d'exercice de Seine-et-Yvelines Numérique n'a pas été épargné par les cyberattaques ces deux dernières années. Autant d'événements relayés par la presse qui ont servi d'électrochoc aux élus comme en témoigne Pierre Bédier. Le président du conseil départemental des Yvelines, qui s'était rendu fin 2022 au chevet de l'hôpital André-Mignot à Versailles, a en effet pu mesurer de visu l'ampleur des dégâts : "En quelques heures, ils sont revenus à l'âge de pierre ! Et certains patients en oncologie ont perdu définitivement leur dossier. Quand on sait l'importance qu'ont ces données pour le traitement d'un cancer c'est dramatique !" Et de résumer l'enjeu par un "si le numérique plante, tout plante" pour contribuer à l'urgence du passage à l'acte pour les représentants des communes et intercommunalités présents lors de ces premières assises de la cybersécurité.

Le papier comme sauvegarde

"Passer par la crise pour avoir une prise de conscience, c'est triste mais c'est la réalité", a convenu Julien Chambon, maire de Houilles. L'élu dont la collectivité a été victime d'un rançongiciel en janvier 2021 a insisté pour sa part sur la nécessité de se préparer au pire car, le jour où cela arrivera, il faudra que la mairie puisse "contacter les parents" en cas de problème avec un enfant en sortie périscolaire ou encore avoir la capacité "d'assurer la paie de ses agents". Des cas très concrets qui doivent conduire les maires à garder quelque part des éléments papier sur lesquels se baser le jour où leur collectivité sera touchée. Car pour Denis Boyer du GIP Cybermalveillance "la question n'est pas de savoir si une commune sera touchée mais quand" (voir notre article du 17 novembre 2020). La sensibilisation des agents se révèle aussi décisive – la plupart des attaques passent par les cases hameçonnage et usurpation d'identité – mais celle-ci n'est jamais totalement acquise. Deux ans et demi après sa cyberattaque, Houilles déplore ainsi un taux de clic de 40% sur les mails simulant une attaque par hameçonnage. Or ce taux doit descendre aux alentours de 12% pour être considéré comme acceptable…

Des outils pour sensibiliser

La sensibilisation des agents constitue du reste l'un des axes de la stratégie d'accompagnement de Seine-et-Yvelines Numérique (voir encadré). Ses membres peuvent avoir accès à la plateforme de Phosforea qui permet d'avoir un suivi individuel du niveau cyber des agents. Elle fournit des contenus de sensibilisation à la cybersécurité sur les comportements à respecter en cas déplacement professionnel, pour naviguer sur internet ou encore les aide à identifier les risques cyber. Un autre module propose des tutoriels pour les aider à sécuriser les mots de passe, le télétravail ou encore à reconnaître les tentatives de manipulation (ingénierie sociale) au cœur des stratégies d'hameçonnage. "La difficulté, c'est de faire en sorte que les agents s'y rendent", a commenté un représentant de collectivité. "Il faut varier les formats – vidéo, affiches, mails…. – et ne pas hésiter à recourir à l'humour", concède le prestataire.

Utiliser le vecteur du plan communal de sauvegarde

Cette sensibilisation ne peut cependant faire partie que d'un plan cyber plus global allant de prévention à la gestion de crise. Car pour Stéphane Blanc, président d'Antemeta, "il ne faut pas opposer sécurité et secours". Ce plan global passe par des mesures d'hygiène informatique – abondamment documenté par des organismes comme l'Anssi – et peut aussi s'appuyer sur des outils familiers des petites collectivités comme le plan communal de sauvegarde (PCS). Car de fait, une cyberattaque peut mettre en danger les populations. "Quand on regarde un modèle de PCS, tout est là : diagnostic sur les risques, recensement des moyens, alerte des populations, mise en place d'une organisation…", souligne Thierry Cornu, le consultant qui animait un atelier sur ce sujet. Sans oublier le maintien opérationnel du dispositif de prévention. Car sans exercice – simulation d'attaque de phishing, journée "sans informatique" comme le suggérait un élu… – ce document risque de ne pas servir à grand-chose. Dernier conseil aux petites communes : prendre en compte la gestion de crise dans le contrat d'infogérance de la mairie. Car si elles n'ont pas de compétences informatiques, elles peuvent à minima responsabiliser leur(s) prestataire(s).

L'assurabilité de la commune en prime

Reste enfin la possibilité d'assurer le risque cyber, rendue possible par la loi Lopmi malgré l'avis défavorable de l'Anssi (voir notre article du 4 octobre 2022), qui fait partie de l'offre du syndicat mixte. Une assurance susceptible de comprendre un accompagnement juridique (plainte, déclaration Cnil…), technique (assistance 24/24, aide au redémarrage du système d'information) et un appui en matière de prévention. Cette assurance peut aussi couvrir les dommages financiers liés à la perte de données, aux services paralysés et aux frais de restauration : 600.000 euros pour une mairie comme celle d'Houilles. Attention cependant alertent les experts : la société d'assurance ne s'engagera que si la collectivité est a minima préparée et/ou la prime sera calculée en conséquence.