Face à la déferlante des rançongiciels, la réponse des pouvoirs publics s’organise

"Lignes téléphoniques et système informatique bloqués à Evreux", "des usagers qui ne peuvent pas utiliser les services en ligne" à La Rochelle, "un système inutilisable pour de longues semaines" à la ComCom du Haut-Ariège, des "serveurs et applications à l’arrêt" au Grand Annecy…. Comme le souligne le Clusif dans son "Panorama de la Cybersécurité 2020" publié le 26 janvier 2021 la liste des collectivités victimes d’un rançongiciel  ne cesse de s’allonger, touchant les plus préparées (Angers, Marseille) comme de toutes petites communes.

Des attaques multipliées par 4 en un an

Si le phénomène n’épargne personne, les attaques de collectivités se révèlent particulièrement visibles. C’est du reste par voie de presse que l’essentiel des attaques remontent à l’Anssi. Par crainte de l’opprobre voire de devoir rendre des comptes à la Cnil, beaucoup d’attaques ne sont pas notifiées, alors même que la réglementation impose d’en informer la Cnil et l’Anssi. Une chose est certaine : le phénomène a "explosé" selon Jérôme Poupart le directeur général de l’agence : les interventions d’urgence de l’Anssi ont été multipliées par 4 entre 2019 et 2020. La crise sanitaire et la généralisation du télétravail ont-elles favorisé ces attaques ? Le haut fonctionnaire ne se prononce pas mais note la professionnalisation et l’industrialisation croissante des attaques. Même si peu de chiffres circulent sur le coût réel de ces attaques – une grosse collectivité l’a évalué à 400.000 euros -  leur impact est très significatif. Aux interventions d’experts spécialisés, s’ajoutent en effet le remplacement de matériels et le temps perdu à ressaisir quand il n’y a pas de sauvegarde.

Trois mois pour s’en remettre à Marseille

Ces attaques se révèlent aussi soudaines que durablement impactantes comme en témoigne (détaillé ici en octobre 2020) Jérôme Poggi, le responsable de la sécurité des systèmes d’information (RSSI) de la ville de Marseille. Victime du rançongiciel Mespinoza la veille du premier tour des municipales et à quelques jours du premier confinement, la ville et la métropole ont subi une attaque spectaculaire en mars 2020. C’est à 3h du matin que le RSSI a été alerté de l’attaque car "le téléphone ne marchait plus. A 10h 80% des services étaient inaccessibles". "C’est en débranchant toutes les connexions et en sauvant les sauvegardes que nous avons pu limiter les dégâts", relate Jérôme Poggi ajoutant que "le temps se compte en minutes pour réagir". Infectée via une passerelle avec la métropole (!), la ville a mis trois mois à se remettre de l’épisode, obligée de revenir au papier pour l’état civil et de remonter une base de données dans l’urgence pour des services funéraires débordés par la crise sanitaire. Et le 28 août, les deux collectivités ont subi une seconde humiliation avec 20 Go de données mises en ligne sur le darknet… Toutefois, grâce à des sauvegardes quotidiennes et doublées, "aucune donnée n’a été perdue", affirme le RSSI.

La réponse des pouvoirs publics s’organise

Ces attaques ont sonné la mobilisation générale côté RSSI comme des pouvoirs publics. Un groupe de réflexion informel a ainsi été mis en place à l’initiative du RSSI de Grenoble Cyril Bras. Il réunit aujourd’hui plus de 80 collectivités. Du côté de l’Anssi, l’agence a mis en place une cellule spécialisée et publié plusieurs guides. L’un d’entre eux, rédigé avec l’appui de l’AMF, cible les petites collectivités toutes aussi impactées par les rançongiciels mais autrement moins préparées à y faire face. Le renforcement de la sécurité des systèmes d’information des administrations et des collectivités va également bénéficier du plan de relance. Une enveloppe, dont le montant n’est pas connu, est affectée aux administrations de l’Etat, aux collectivités territoriales et aux organismes au service des citoyens. Les modalités d’attribution des aides sont annoncées pour la mi-février.