Cyber et collectivités territoriales : l’année de tous les dangers

Yannick Morez, l’ancien maire de Saint-Brévin-les-Pins (Loire-Atlantique), a reçu des menaces de la part d’opposants au projet d’installation d’un centre pour demandeurs d’asile. Il démissionne le 9 mai 2023, après l’incendie de son domicile, et annonce dans la foulée vouloir quitter la France. Ce cri du cœur, symbole de la charge mentale et de la solitude des maires, est entendu tardivement par la République.

Ironie du sort, la commune de Saint-Brévin-les-Pins a subi une attaque informatique le 24 mai 2023, quelques heures avant la marche de soutien des élus au maire démissionnaire. Le 25 mai, veille du week-end de Pentecôte, messageries et téléphones municipaux ne fonctionnaient pas. Cette attaque serait « nationale », toucherait plusieurs communes et n’aurait aucun lien avec la démission du maire et les événements récents, selon les autorités. Mais, comme soupire un élu : « on n’avait pas besoin de ça… »

Une grande vulnérabilité des communes face aux cyberattaques

Cette actualité souligne la vulnérabilité des collectivités face aux attaques informatiques et le désarroi des élus face à ce problème. Si d’autres communes, plus importantes en nombre d’habitants, ont subi des attaques informatiques d’ampleur, notamment Lille, Toulouse, Caen, la Rochelle, plus aucune, quelle que soit sa taille, n’est à l’abri.

« Les collectivités font de plus en plus l’objet de cyberattaques, notamment par rançongiciels », pointe Denis Mottier, chargé de mission sécurité et prévention de la délinquance à l’AMF (Association des Maires de France) lors d’un petit déjeuner inCyber, organisé au Campus Cyber (La Défense), le 23 mai 2023. Comme on peut le lire dans un rapport du Sénat publié le 9 décembre 2021, « 30% des collectivités ont été attaqués en 2019, et ce chiffre a augmenté de 50% en 2020 ».

Ce témoignage d’une commune de 20 000 habitants cité dans le rapport du Sénat est édifiant : « Durant un week-end en plein été, le réseau informatique de notre commune de 20 000 habitants a été attaqué par un rançongiciel. Les pirates [informatiques] auraient réussi à pénétrer dans notre réseau par nos accès ouverts pour le télétravail. Une grande partie de nos informations était bloquée et les services municipaux se sont retrouvés à l’arrêt. Les pirates [informatiques] réclamaient une rançon de plusieurs dizaines de milliers d’euros et menaçaient de publier des informations […] ce qui peut porter préjudice à nos administrés. Nous avons refusé de payer et avons déposé plainte, mais il a fallu plusieurs semaines pour revenir à un fonctionnement à peu près normal. Heureusement toutes nos sauvegardes n’ont pas été détruites […] Nous ne pensions pas être un jour la cible d’une telle attaque. Cela nous a servi de leçon et nous allons maintenant revoir notre niveau de sécurité informatique. »

« Ce ne sont que très rarement des attaques politiques menées par des hacktivistes. Comme pour les structures de santé, les pirates attaquent au hasard et d’abord ce qui est rentable… Et vulnérable », reprend Denis Mottier.

Des données sensibles donc monnayables

Rentables parce que les collectivités, quelle que soit leur taille, gèrent des donnée critiques, donc monnayables. « Le niveau de risque a considérablement augmenté depuis trois ans. Les données gérées par une collectivité comme Brest Métropole (environ 200 000 habitants) sont sensibles : plan des communes, données sociales (CCAS), données liées à l’enfance, à la jeunesse et au sport, voirie, plan des infrastructures (eau, gaz…), données de santé (EPHAD gérés par les communes) », explique Alexandre Delanoue, RSSI de Brest Métropole.

Idem pour les données de l’État civil ou électorales, gérées par les mairies. Lors de chaque élection, les listes électorales sont établies et mises à jour sous la responsabilité des communes. Si un administré n’est pas sur une liste et ne peut pas voter, l’élection peut être déclarée invalide. Enfin, reprend un élu, « un certain nombre de procédures, comme les demandes de permis de construire, sont dématérialisées. Quid de la sécurité ? ».

91% des communes françaises recensent moins de 3 500 habitants

Deuxième point d’attaque : la vulnérabilité des communes. Selon une étude de cybermalveillance.gouv.fr menée au deuxième semestre 2021 auprès des communes de moins de 3 500 habitants (524 répondants, dont 93% d’élus), celles-ci représentent 91% des communes françaises. 77% des communes ont moins de 5 postes informatiques et 77% externalisent. Avec des pratiques à risque (partage de mots de passe, accès par des terminaux privés, télétravail etc.) Plus préoccupant, 65% des répondants pensent que le risque cyber est faible voire inexistant ou ne savent pas l’évaluer. 35% des sondés affirment avoir identifié un risque élevé mais ne savent pas comment y pallier.

D’autant que les maires sont confrontés à une montée en puissance de la contrainte réglementaire, dont fait partie la cybersécurité. L’Anssi a ainsi édité, en mars 2020, un « Guide sur la sécurité des collectivités territoriales, l’essentiel de la réglementation », sous forme de fiche pratiques pour gérer un incident de sécurité, la signature électronique, les téléservices etc. Il est à noter que les collectivités sont soumises à plusieurs textes règlementaires en matière de cyber, dont principalement la RGS (pour les téléservices et les procédures dématérialisées), la directive NIS 2 et le RGPD.

Fédérer, mutualiser, réunir

La seule réponse possible consiste à fédérer et mutualiser les bonnes volontés entre les forces de police et de gendarmerie, les relais de l’Anssi, les syndicats de commune, les CCI… Par leur maillage territorial, les gendarmes travaillent avec les élus pour les aider à évaluer leur niveau de risque et trouver des réponses adaptées. Les collectivités se tournent davantage vers des solutions mutualisées, avec les métropoles, les chambres de commerce et d’industrie. Mais aussi vers les syndicats publics, comme Soluris, à Saintes (Charente), qui a créé « Cyberisq », un outil gratuit de diagnostic et de méthodologie dédié, auquel adhère la commune de Bussac-sur-Charente (Charente Maritime).

« Comme beaucoup de communes rurales, l’économie est fondée sur l’agriculture et les entreprise artisanales, tout le monde se connait, la cyber, ça parait loin… Il y a cinq employés municipaux, et l’informatique, c’est la première adjointe et moi », explique Jean-Luc Marchais, le maire. « Avec Cyberisq, nous avons une vue précise de notre situation et nous pouvons avancer sur ce sujet. L’union et la mutualisation des forces, c’est le seul moyen de répondre à la problématique cyber des communes de notre taille », conclut le maire.