Jean Pierre Véran a proposé à la centaine d’élus présent au salon des maires de participer à une table ronde sur le thème du piratage informatique. Des maires mais aussi des techniciens et des spécialistes de la cybersécurité ont ainsi pu délivrer un message clair et convergeant, invitant les collectivités territoriales à s’emparer de cette problématique complexe. Le sujet avait déjà fait l’objet d’une réunion de formation présidée par André Guiol, maire de Néoules en Avril dernier. Une bonne occasion, donc, d’activer les pare-feux et de procéder à une mise à jour des connaissances dans le domaine.
Pour alimenter les débats, l’AMF avait invité : le Colonel Malo, Commandant du Groupement de Gendarmerie du Var, la Cellule d’Investigation Numérique du Groupement de Gendarmerie, Monsieur Laurent Londeix, Directeur Régional d’Orange Provence Côte d’Azur, le témoignage de Monsieur Sébastien Bourlin, Maire de Pourrières, Monsieur Alexandre Fernandez Toro, responsable de la sécurité des systèmes d’information de Véolia.
Le Président de l’AMF83 a donné d’emblée le ton aux échanges : “La cybersécurité concerne absolument tous les élus, de toutes les communes. A la suite d’une attaque informatique, c’est l’image de la commune qui peut être rapidement affectée. Je crois aussi que, si on n’y prend pas garde, c’est la confiance des administrés que l’on peut perdre également. On ne peut pas se permettre d’inviter nos concitoyens à adopter le numérique si la confidentialité des données n’est pas garantie. C’est la responsabilité même de l’élu qui peut être engagée si les précautions élémentaires n‘ont pas été prises en charge.”
La multiplication des attaques numériques de type ransomware (logiciel qui pénètre un système informatique à l’insu de son propriétaire dans le but de lui dérober ses données et de lui demander ensuite une rançon pour les récupérer) constitue une nouvelle menace pour les systèmes d’informations des collectivités locales. L’an dernier, sur le Var, une dizaine d’entreprises en ont fait les frais et ont dû se rapprocher en urgence des services de la Gendarmerie du Var pour déposer plainte pour vol et chantage. S’en suit une enquête difficile, qui aboutit difficilement. Les raisons de ces difficultés sont connues : la prise de contrôle des ordinateurs à distance, souvent depuis l’étranger, le contrôle et la disparition des traces du vol par les pirates eux-mêmes, l’expertise grandissante des pirates dans le domaine du recel de données sensibles et enfin le coût des investigations à conduire. Selon le Colonel Malo du Groupement de Gendarmerie du Var, c’est davantage sur le volet prévention qu’il faut agir : “La répression étant peu efficace, il faut axer l’information sur la prévention auprès des professionnels ou des élus : Quel est l’état des menaces? Comment une commune peut-elle se prémunir? Quelle conduite à tenir en cas d’attaque?”
En réalité, l’Etat dispose de peu de chiffres pour étayer l’ampleur des cyberattaques ciblées sur les collectivités. Les collectivités n’ayant pas nécessairement pas de budgets dédiés à la sécurisation des données, il est difficile de quantifier la part que les communes investissent pour la protection de leurs données dématérialisées ou numériques. Néanmoins, les pratiques issues du privé sont de plus en plus adoptées par les collectivités : création de cloud, externalisation des données sur des serveurs dédiés, utilisation massifiée du mailing, transactions bancaires sur serveurs sécurisés etc. De ce fait, les pirates ont étendu leurs cibles aux collectivités locales. Dans le Var, 1000 faits ont été constatés. 70% des larcins sont des escroqueries (petites annonces, courriels envoyés massivement, cryptomonnaie). 15% sont des menaces aux personnes, et 15% sont directement des intrusions dans les systèmes automatiques de traitement de données.
Sur le plan de la prévention, le colonel Malo a donnée deux recommandations : Eviter l’attaque ou l’intrusion en sécurisant les données (hygiène informatique), et de geler les lieux (pour que les techniciens puissent intervenir).
Attaque de la mairie de Pourrières : un exemple de ransomware édifiant.
Sébastien Bourlin, Maire de Pourrières, a témoigné à propos de l’attaque survenue le 14 décembre dernier sur le système informatique de sa commune. “Ça s’est passé très vite. Vers 18h, tout était bloqué. Les techniciens municipaux, qui ne sont pas formés en cyberattaque, n’ont pu que constater que tout le système informatique était en l’air et que les données avaient été cryptées. Ensuite, l’attaque s’est propagée sur tous les serveurs, les sauvegardes, les applicatifs (logiciels pour actualiser les listes électorales, pour émettre un acte de décès, un acte de mariage, émettre des fiches de paie etc…). A partir de ce moment-là, on a joué au chat et à la souris pour ne pas casser le lien avec les pirates, le temps de contacter les services compétents. Ce type de crime est particulièrement odieux car il touche les agents dans leur travail. Certains pensaient qu’ils ne seraient pas payés, d’autres pensaient que leur travail était perdu. Nous avions vite compris que nous étions devenus orphelins de notre système informatique et que nous étions pieds et poings liés face à cette cyberattaque, dont les conséquences dépassaient le simple champ de nos serveurs informatiques. Nos précédentes sauvegardes nous ont permis de récupérer 80% de nos applicatifs. On a ensuite listé nos défaillances. Les services de gendarmerie nous ont apporté une méthodologie, une expertise, une expérience de la crise qui a permis de parer aux problèmes. Le ravisseur a été maintenu en contact. Nous lui avons demandé de nous fournir une clé de décryptage pour nous assurer qu’il pourrait décrypter les données. Ce qu’il a fait. A partir de là, une équipe de techniciens a été mise en place. La mise à disposition de nouveaux serveurs informatiques a permis de récupérer les données.”
Afin de ne pas compromettre l’enquête, les gendarmes ont conseillé aux maires de geler la scène de crime. “Si l’atteinte arrive par le réseau, les données étant volatiles, le pirate informatique est susceptible d’effacer ses traces. D’où la nécessité d’éteindre l’alimentation du serveur” a indiqué le colonel Malo.
Quel outillage juridique pour lutter contre les cybers attaques ?
Les pouvoirs publics ont mis en place un panel de règlements qui obligent les opérateurs à faire de la cybersécurité : la loi de programmation militaire, la directive NIS (loi européenne entrée en vigueur en 2018 et obligeant les organisations opérant dans des secteurs critiques à atteindre un niveau élevé de cyber-résilience), les normes ISO 27001. Si on résume tous ces référentiels, il faut mettre en place des fondamentaux en place : cloisonner les réseaux, isoler les réseaux les plus sensibles pour qu’il n’y ait qu’un seul point d’entrée et de sortie, appliquer des correctifs de sécurité (ces fameuses mises à jour de sécurité), veiller à la qualité des mots de passe.
Pour Monsieur Alexandre Fernandez Toro, responsable de la sécurité des systèmes d’information de Véolia, ces fondamentaux s’appliquent en fonction des contextes : “Chez Véolia, nos systèmes distribuent de l’eau potable, donc la sécurisation des systèmes est un véritable enjeu de santé publique”.
Une fois que le réseau est sécurisé, il faut que les systèmes à l’intérieur soient aussi sécurisés par ceux qui les exploitent. Certaines prestations sont externalisées et sont payées au forfait. Elles ont un coût. Elles prennent du temps. “Il faut compter trois ans, voire quatre, pour sécuriser un réseau”, a indiqué M. Fernandez-Toro. “Non pas quatre ans effectifs, bien sûr, mais parce qu’on ne peut pas freiner la production”.
Même constat, et attaques en série, chez Orange, l’opérateur de télécommunications internet et mobiles. “Des attaques quotidiennes, permanentes” assure même Monsieur Laurent Londeix, Directeur Régional d’Orange Provence Côte d’Azur : “Aujourd’hui, l’expertise développée chez Orange cyberdéfense, nous souhaitons la partager avec les collectivités locales qui sont confrontées à des cyberattaques. En prenant du recul, on peut résumer les grandes phases du dispositif en les adaptant aux problématiques des communes. La première phase, c’est l’identification des données, la deuxième, c’est la protection, la troisième c’est la détection, c’est-à-dire la surveillance, en temps réel”.
© sources : AMF83 (www.amf83.fr) – David WILQUIN – 12/11/2019
© photos : DAKIN / www.agencedakin.com