Les élus invités à prendre le dossier de la cybersécurité à bras le corps

C’est d’une initiative bretonne qu’est né le guide sur la cybersécurité que viennent de publier l’Agence nationale de la sécurité des systèmes d'information (Anssi) et l’Association des maires de France (AMF). "Après l’attaque subie par la ville de Vannes en 2016 par un rançongiciel, je me suis aperçue que les collectivités étaient très peu accompagnées sur le sujet de la cybersécurité", raconte Anne Le Henanff, adjointe au maire de la ville et par ailleurs titulaire de la chaire cybersécurité à l’université de Bretagne Sud. Elle a alors décidé de faire la tournée des institutions – Anssi, Intérieur, gendarmerie… - pour finalement mettre en place un groupe de travail tripartite (collectivité, Etat, prestataires) auquel on doit la rédaction de la majeure partie de ce guide. "C’était d’autant plus urgent que les communes sont véritablement devenues un marché pour les cyberdélinquants", explique-t-elle. Car au dire de la spécialiste "ils jouent sur le fait que les mairies sont mal préparées tout en étant solvables. Les rançons, de 20 à 70.000 euros, sont fixées à des niveaux qui les rendent 'accessibles' aux petites collectivités". Le faible nombre d’attaques remonté à l’Anssi (lire ci-dessous) tendrait du reste à le prouver…

Le RGPD comme levier

Pour sortir de cette logique où le marché s’auto-alimente, le guide issu de ces travaux a pour première ambition de sensibiliser les élus afin de sortir le sujet cybersécurité du cercle des directions des systèmes d'information (DSI). Un challenge loin d’être acquis selon Vincent Coppolani vice-président en charge de la cybersécurité au syndicat Soluris qui relève que "dans une mairie, il ne viendrait à personne l’idée de laisser les fenêtres et portes ouvertes. La pose de verrous relève de l’évidence. En matière informatique, il est beaucoup plus difficile de faire passer le message, notamment parce que les élus ne visualisent pas la prise de contrôle à distance d’un ordinateur".  En d’autres termes, il reste aujourd’hui difficile de faire passer un budget cybersécurité. C’est pourquoi en Charente-Maritime comme à Vannes, les collectivités se sont appuyées sur le Règlement général sur la protection des données (RGPD) pour convaincre les élus d’investir. "Le respect du RGPD est une obligation légale et le vol de données est lourdement sanctionné par la loi. C’est un argument de poids", souligne Vincent Coppolani. Le RGPD comme la cybersécurité partagent par ailleurs pour finalité la protection des données et des principes organisationnels communs comme la désignation d’un référent.

Pilotage intercommunal

La "gouvernance" de la cybersécurité figure du reste en tête de la trentaine de recommandations pratiques du guide Anssi-AMF. Si la désignation d’un élu en charge de la cybersécurité voire d’un RSSI autrement dit d’un référent cybersécurité apparait réservé aux grandes collectivités, les petites communes, dont la plupart n’ont pas de DSI, sont invitées à se tourner vers l’intercommunalité. Plus précisément, le guide invite à créer "un service commun" au sens de l’article L 5211-4-2 du CGCT au niveau de l’EPCI. Une solution susceptible de générer des économies via les achats groupés de logiciels mais aussi de renforcer la "sécurité juridique et technique" des communes. Dans tous les cas, communes et intercommunalités sont invitées à y affecter un budget suffisant pour pouvoir se faire accompagner, investir dans des outils de sécurité (VPN, firewall, antivirus…) comme dans la formation. Car celle-ci est fondamentale, bon nombre d’attaques résultant de défaillances humaines, clic malheureux, mot de passe insuffisamment complexe ou absence de mise à jour d’un logiciel. "A Vannes, tous les personnels ont été formés, y compris ceux qui n’avaient pas d’ordinateur attitré car il s’agit d’insuffler une culture partagée de la cybersécurité", fait valoir Anne Le Henanff. Les collectivités pourront du reste s’appuyer sur les fiches pratiques de cybermalveillance.gouv.fr pour mettre en place ces formations.

Se préparer au pire

Le guide incite ensuite les collectivités à se doter d’un plan de crise numérique comme il en existe pour la gestion d’inondations ou d’un accident majeur. En matière numérique, le risque principal pour les collectivités est aujourd’hui lié aux rançongiciels qui peuvent paralyser totalement un système d’information. L’impréparation à ce type d’attaque peut coûter cher souligne le guide en termes de vol de données personnelles (avec de potentielles sanctions de la Cnil), de matériels et de logiciels perdus mais aussi d’image dégradée de la collectivité et de temps perdu par les agents. Les crises numériques se distinguent cependant par la gestion de deux enjeux concomitants : la restauration du système d’information, nécessairement sur un temps long, avec en parallèle l’obligation d’assurer la continuité de leurs missions de service public. Et pour valider leur robustesse, l’Anssi incite les collectivités à les tester par des exercices et simulations. En cas d’attaque enfin, l’agence invite à utiliser les ressources de cybermalveillance.gouv.fr, à porter plainte et à se signaler à l’Anssi et à la Cnil.

Une sinistralité sous-évaluée

En 2019, l’Anssi avait "recensé et traité" 92 incidents de sécurité d’origine cyber affectant les communes et les intercommunalités, soit un quart des incidents remontés à l’Agence. Pour plus de la moitié il s’agit de défigurations de sites web, à l’impact avant tout symbolique, les compromissions de messagerie arrivant en seconde position. Neuf attaques (seulement) concernaient des rançongiciels. Tout porte à croire que ces chiffres sont très largement sous-estimés. Une bonne partie des données de l’Anssi remontent en effet… par voie de presse, l’agence s’autosaisissant alors du problème. Christophe Vanypre directeur de Recovéo, prestataire spécialisé dans la récupération de données, explique de son côté être sollicité par "une douzaine de collectivités victimes de cyberattaque chaque mois". L’obligation de remonter les attaques à l’Anssi et à la Cnil rappelée par le guide serait en pratique très peu respectée. "La crainte de sanctions jouent autant qu’une certaine honte et certaines n’hésitent pas à nous faire signer des clauses de confidentialité", précise le prestataire.