La lutte contre les rançongiciels passe par l’anticipation et la fin de l’omerta

Face à l’ampleur prise par les attaques par rançongiciels dans les collectivités, les initiatives se multiplient pour renforcer l’échange d’information et le partage d’expériences. Des réseaux de professionnels de la cybersécurité cherchent aussi à briser l’omerta actuelle sur les attaques. Libérer la parole s’avère une étape nécessaire à la prise de conscience de l’enjeu et à l’affectation de moyens adéquats.

En acceptant de témoigner en toute transparence lors du Trip de l’Avicca le 11 mai, l’agglomération de La Rochelle et syndicat mixte Seine-et-Marne numérique se sont vu attribuer les félicitations du représentant de l’Anssi. "Peu de collectivités acceptent de témoigner et je vous remercie d’avoir partagé vos expériences qui sont toujours riches d’enseignement", a déclaré Éric Hasane, le "monsieur territoires" de l’Anssi. 

Même mode opératoire

Deux expériences qui partagent beaucoup de points communs, à commencer par le sentiment de ne pas faire partie des collectivités les plus vulnérables. "Nous sommes une petite équipe de 15 personnes avec une informatique externalisée mais nous pensions avoir mis en place le maximum de sécurité à l’occasion de sa refonte en 2018", a raconté Julie Dulac, la directrice administrative et financière du syndicat mixte. Quant à La Rochelle, il s’agit d’une collectivité comptant plus de 3.000 postes, équipée d’un réseau privé virtuel, de pare-feu et dotée d’un responsable de la sécurité des systèmes d’information (RSSI). Les cyberattaquants ont cependant réussi à voler des identifiants et mots de passe, leur permettant de crypter durant deux heures les données d’une cinquantaine de serveur sur les 163 que compte l’agglomération.

Dans les deux cas, le mode opératoire laisse penser qu’il s’agit d’attaques préparées à l’avance, conçues pour occasionner le maximum de dégâts. Installés plusieurs jours (semaines ?), les cryptovirus ont été actionnés une veille de weekend quand la vigilance de l’équipe informatique est moindre. Le bilan de ces cyberattaques, bien que difficile à évaluer, est loin d’être négligeable. Pour le syndicat mixte, 15 jours de données (bons de commande, permissions de voirie…) ont été définitivement perdus. Et surtout, malgré une remise à plat complète de sa politique de sécurité, la structure a le sentiment de vivre avec une épée de Damoclès, le cryptolocker n’ayant pas été localisé.

Peu d’aides extérieures à attendre

À La Rochelle, les services publics ont été très perturbés avec un retour au papier pour certaines formalités, l’impossibilité de facturer le stationnement faute de barrières fonctionnelles ou encore la mise à l’arrêt du logiciel de paie. "Nous avons vécu une période très compliquée avec en plus du système d’information à reconstruire, une forte médiatisation contribuant à une image dégradée de la collectivité", a confié Mathieu Souchard, le RSSI de l’agglomération de La Rochelle. Les sauvegardes n’ayant pas été touchées, la collectivité a pu rétablir ses services en "seulement" quatre semaines et ni l’informatique des communes membres de l’agglomération, ni les données des habitants n’ont été impactées. Du reste, l’expert invite les collectivités à réfléchir avant de tout mutualiser entre la ville et l’EPCI.
Dernier point commun : les collectivités ont dû avant tout compter sur elles-mêmes pour surmonter la crise. La Rochelle n’a ainsi trouvé qu’un seul prestataire pour l’accompagner pour rebâtir et durcir son système d’information (coût : 45.000 euros). Le syndicat mixte s’est rendu compte pour sa part que l’assurance ne couvrait pas ce risque et lorsqu’il a voulu porter plainte "le commissariat n’a pas compris le problème et la plainte a été classée sans suite".

Cet isolement, l’Anssi comme Cybermalveillance.gouv.fr ont voulu le relativiser. L’agence nationale a mis en place des correspondants régionaux et prévoit, dans le cadre du plan de relance, la création de centres de réponse régionaux (Cert). Elle va aussi contribuer à la mise à niveau des SI en finançant audits et acquisition de solutions de cybersécurité. Mais face à la multiplication (par quatre en un an) des attaques, l’agence concentre son appui sur les opérateurs d’importance vitale (OIV) et certains opérateurs de services essentiels (OSE), parmi lesquelles seulement quelques grandes collectivités. Quant à Cybermalveillance, le GIP intervient essentiellement sur la veille, la sensibilisation et la mise en relation avec des prestataires spécialisés. 

Des réseaux de RSSI pour mieux anticiper

Face à cette situation, les experts territoriaux de la cybersécurité ont décidé de s’organiser, avec la bénédiction de l’Anssi, pour mieux anticiper la menace. Philippe Steuer, RSSI de Bordeaux métropole, a ainsi présenté le club qui réunit une centaine de RSSI de collectivités, initié en 2018. Un club né de la montée des cyberattaques mais aussi de la transformation numérique des territoires, le numérique dépassant largement l’informatique de gestion pour s’immiscer dans tous les systèmes urbains (vidéoprotection, mobilité, réseaux d’eau…) avec la crainte d’attaques aux conséquences extrêmement dommageables. Ce club, qui travaille en lien étroit avec l’Anssi, vise à encourager la mutualisation de ressources, à échanger sur les menaces et incidents, à organiser la sensibilisation des personnels et à servir d’interlocuteur aux institutions comme aux éditeurs de solutions. Seul bémol : le club est réservé à des profils SSI affirmés et donc aux grandes collectivités.

L’acculturation aux enjeux de cybersécurité des petites collectivités, c’est justement la mission que s’est fixée le nouvel Institut national de la cybersécurité et de la résilience des territoires (INCRT). Fondé en juin 2020, avec le soutien de la Banque des Territoires, l’INCRT est basé à Vannes (56) et s’adresse " d’abord aux EPCI et aux communes". Recueil et diffusion des bonnes pratiques, collaboration avec les entreprises de la filière cybersécurité, développement de formations accessibles sans le bac…l’institut veut promouvoir une approche locale de la cybersécurité. Il entend aussi contribuer à faire changer l’image du métier. "Le RSSI est trop souvent présenté comme 'Monsieur Non' au sein des organisations et nous souhaitons qu’il incarne la confiance dans l’usage du numérique en devenant 'Monsieur Non, mais'" a déclaré Cyril Bras, RSSI de Grenoble et vice-président de l’institut. Des messages qui seront notamment diffusés à l’occasion des premiers "cyberterritoires" qui auront lieu à Vannes en octobre 2021.