• Mathieu Nohet

Cybersécurité : comment protéger les systèmes d’information de votre collectivité ?

Dernière mise à jour : 25 avr.

370 collectivités territoriales ont bénéficié des subventions gouvernementales du plan France Relance pour renforcer leur cybersécurité en 2021. L’actualité médiatique récente prouve que les collectivités sont les cibles clés. Le prix est conséquent : absence de continuité du service public, vol de données ou encore rançon. Quelles sont les bonnes pratiques recommandées ?

code, hack, informatique
Lignes de code - Lucas Bravo, Unsplash

Cet article a pour but de formuler à l’égard des collectivités un rappel des enjeux de la sécurisation des données et des solutions existantes, pour se prémunir d’une cyber attaque.

La cybersécurité peut être entendue comme tout ce qui couvre le domaine de la protection des systèmes d’information de manière générale. Tout objet connecté (compris comme le cyber espace) est la possible cible d’une intrusion malveillante.

L’objectif de l’attaquant (hacker seul, groupe d’acteurs ou pays étrangers) est le plus souvent de soutirer de l’argent. Pour les collectivités, le mode opératoire d’attaque la plus sérieuse est le rançongiciel selon l’ANSSI dans son état de la menace 2021.

Plus globalement, on observe une augmentation du nombre de cyberattaques à l’encontre des collectivités territoriales françaises, de l’ordre de + 50% entre 2019 et 2020 (chiffres repris lors des débats au Sénat). Cette tendance est continue.

Dans la Gazette des communes le mois dernier, Marc Boget, commandant de la gendarmerie dans le cyberespace, rappelle que « la prochaine crise sera une crise “cyber”. Il y a une attaque toutes les 30 secondes. (...) Et quand vous êtes attaqués, c’est un retour à la gomme et au crayon. »


Quels risques pour les collectivités?

Les pertes

Il y a d’abord des pertes économiques, mais aussi une mauvaise image témoignant d’une perte de crédibilité pour les victimes de cyber-attaques, et des sanctions juridiques possibles à l’encontre des collectivités touchées.

Entre les données volées et l’arrêt du service public pendant plusieurs heures, le manque à gagner est conséquent. Dans la Gazette des Communes, Bernard Baudoux, maire d’Aulnoye-Aymeries (Nord) explique qu’après l’attaque subie par sa commune « il y a encore des questions non réglées”, augurant d’un bilan financier important. Il s'élèverait à “près de 300 000 euros, pour une petite commune de 9000 habitants”.

En termes d’image, cela produit une érosion de la capacité du secteur public à protéger les données des citoyens ou à assurer la continuité de son service. Au même titre que la mise en conformité de la donnée aux normes RGPD, les collectivités sont responsables de la perte des données qu’elles collectent et stockent.

Lors d’une attaque, la responsabilité première est bien entendu celle des cybercriminels mais ils ne sont pas toujours identifiés et arrêtés. La collectivité victime, elle, est connue. On peut alors formuler des reproches sur la protection mise en place de la collectivité, spécifiquement s’il y a une faille dans les systèmes informatiques de la collectivité. La responsabilité de la collectivité est engagée lorsqu’il y a eu des négligences internes. De nature plurielle, cette erreur peut être d’ordre technique, comme un système informatique mal sécurisé ou une gestion de mots de passe défaillante, logiciels informatiques non maintenus ou non mis-à-jour, ou organisationnel (informations, formations…).


Les motifs d’attaques

Il existe de nombreux motifs d’attaques informatiques, voici leurs principaux objectifs déclinés en mode opératoires.

hackeur, informatique
Image d'illustration d'un hackeur - Christian Hume - Unsplash

La déstabilisation

La déstabilisation des services est souvent le fait d’hacktivistes et de mouvements idéologiques. Les attaques informatiques s’y rattachant sont les attaques par déni de service (DDoS) dont le but est de rendre indisponible un service. L’attaquant surcharge la bande passante afin que le serveur n’arrive plus à traiter l’information qu’il reçoit. Les utilisateurs n’ont alors plus accès momentanément ou définitivement à leurs outils.

Généralement peu sophistiquées, elles visent aussi bien des systèmes gouvernementaux que ceux des entreprises.


L’espionnage

Il peut s’agir d’intrusion suivie de conservation à distance d’un accès au système visé. Ici, l’objectif de l’attaquant est de maintenir discrètement son accès le plus longtemps possible, afin de capter l’information stratégique en temps voulu. Les attaques utilisées pour l’espionnage à des fins d’intelligence économique ou scientifique ont souvent de lourdes conséquences pour les intérêts nationaux. En effet, les communes ont accès à des informations importantes (données sensibles) qui peuvent être vendues ou exploitées à mauvais escient.


Le sabotage

Le sabotage informatique rend inopérant tout ou partie d’un système d’information d’une organisation. Le sabotage s’apparente à une « panne organisée », frappant tout ou partie des systèmes, selon le type d’atteinte recherchée : désorganisation du service à minima sur court terme, avec impact médiatique ou non, et un coût des outils informatiques à réparer.


La cybercriminalité

Il existe trois modes opératoires principaux : l'hameçonnage, le rançongiciel, le cassage de mot-de-passe. Ils ciblent des acteurs publics et des services gouvernementaux afin de bloquer l’accès à leurs données, essentiellement dans un but lucratif : l’attaque s’arrête quand la rançon est payée.

Maintenant que nous avons vu les différents risques pour une collectivité, passons aux bonnes pratiques pour éviter que cela vous arrive !


II. Comment se prémunir d’une attaque cyber lorsque l’on est une collectivité ?

Voici quelques conseils plus précis concernant les attaques cybercriminelles, qui sont généralement majoritaires dans les attaques ciblant les collectivités.


Identifier et se protéger des différents types d’attaques

cyber attaque, rançongiciel, hameçonnage, Ddos,
Les différents types de cyberattaques - AFP, TV5 Monde, 2017

L'hameçonnage

L'hameçonnage (phishing) désigne une tentative frauduleuse qui vise à extorquer des informations personnelles et bancaires. Il est aussi utile de sensibiliser à cette attaque à titre personnel qu’à titre professionnel. Cela peut prendre la forme d’un mail ayant l’air de provenir d’une source de confiance, cherchant à amener la cible à donner des informations sensibles, - comme un mot de passe ou un code pour accéder à un compte bancaire - ou bien à télécharger un virus malveillant.

En 2021, deux départements ont présenté à l'Assemblée des départements de France (ADF) un retour d'expérience sur des campagnes de phishing fictives. Elles avaient pour objectif d’évaluer le taux de clic des personnes manipulées : il représente 40 à 70 % des personnes visées, malgré des séquences de sensibilisation antérieures. Aujourd’hui l’hameçonnage est une sérieuse menace pour les collectivités.

Nos conseils

  • Toujours vérifier les champs des emails (réponse à), l’adresse email précise et non juste le nom du contact

  • Ne jamais cliquer sur un lien ou télécharger un fichier inconnu venant d’un destinataire suspect

  • Vérifier avec ses proches via un canal de confiance si l’on reçoit un message étrange ou inhabituel venant de leur part

  • Utiliser un gestionnaire de mot de passe qui détecte la redirection sur les faux sites. L’utilisateur est alors alerté avant la saisie de son mot de passe.

Le rançongiciel

Cette technique d’attaque est la plus courante. En 2020, près de 30 % des collectivités territoriales ont été victimes d'une attaque au rançongiciel selon une étude du Clusif. Une analyse du service statistique du ministère de l'Intérieur sur les plaintes déposées à la suite d'attaques par rançongiciels entre 2016 et 2020, montre que les collectivités représentent pas moins de 9% des plaintes.

Le rançongiciel consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données, et lui demande ensuite une rançon pour les décrypter. L’ANSSI a produit un guide spécifique sur ce type d’attaque.

Que faire?

  • Enregistrer un double de ses fichiers importants sur le cloud ou un disque dur externe. C’est-à-dire faire des enregistrements complets, si possible automatiques, des données importantes.

  • Ne jamais télécharger de fichier inconnu ou suspect

Dans un rapport du Sénat du 9 décembre 2021, une commune de 20 000 habitants témoigne d’une attaque par rançongiciel. « Durant un week-end en plein été, le réseau informatique de notre commune de 20 000 habitants a été attaqué par un rançongiciel. Les pirates auraient réussi à pénétrer dans notre réseau par nos accès ouverts pour le télétravail. Une grande partie de nos informations était bloquée et les services municipaux se sont retrouvés à l'arrêt. Les pirates réclamaient une rançon de plusieurs dizaines de milliers d'euros et menaçaient de publier des informations qu'ils nous auraient volées, ce qui peut porter préjudice à nos administrés. Nous avons refusé de payer et déposé plainte, mais il a fallu plusieurs semaines pour revenir à un fonctionnement à peu près normal. Heureusement toutes nos sauvegardes n'ont pas été détruites ce qui nous a permis de récupérer une partie de nos données. Nous ne pensions pas être un jour la cible d'une telle attaque. Cela nous a servi de leçon et nous allons maintenant devoir revoir notre niveau de sécurité informatique ».


Le cassage de mots de passe

Le cassage des mots de passe consiste à deviner ou récupérer un mot de passe. Il faut garder en tête que 81% des fuites de données sont dues à des mots de passe faibles. La majorité du temps la faille est humaine : les mots de passe sont écrits ou peu forts. Un mot de passe est considéré comme fort quand il est long et complexe, avec majuscules, minuscules, chiffres et caractères spéciaux.

Que faire ?

  • Vérifier si un de vos comptes a été compromis grâce à : https://haveibeenpwned.com/

  • Générer des mots de passe aléatoires avec des gestionnaires de mot de passe (sans informations personnelles type date de naissance ou nom des proches).

  • Utilisez un mot de passe unique pour chaque compte

  • Changez vos mots de passe par défaut

  • Utiliser la double authentification dès que possible

  • Utilisation d’un coffre-fort numérique

Les gestionnaires de mots de passe

Nous allons nous pencher sur les gestionnaires de mots de passe car les mots de passe constituent une faille probable. Rien que ci-dessus, trois bonnes pratiques y sont dédiées.

Les principaux avantages d’un gestionnaire de mot de passe est qu’il verrouille l’accès aux sites internet par un mot de passe maître que seul vous connaissez.

Il n’y aura qu’un seul mot de passe à retenir et ce coffre-fort virtuel a un niveau de sécurité plus fort que la majorité des sites. Pour chaque site, des mots de passe complexes seront autogénérés et les combinaisons beaucoup plus longues à deviner pour le hackeur. Enfin, l’accès aux sites y est plus rapide par l’automatisation de l’authentification après validation du mot de passe maître.

Parmi les gestionnaires de mot de passe les plus utilisés on retrouve 1password ou Dashlane, particulièrement complets, bien intégrés et compatibles avec les derniers dispositifs de sécurité. Disponible directement en SaaS, vous devez vous créer un compte et souscrire à un abonnement. A destination du secteur public, préférez le logiciel libre KeePass. Ce gestionnaire est sécurisé, gratuit, français et recommandé par l’ANSSI.

En cas d’attaque, vous pouvez contacter le dispositif d’assistance aux victimes d’actes de Cybermalveillance : cybermalveillance.gouv.fr.

Lorsque l’attaque porte atteinte à la sécurité nationale, vous devez contacter le CERT-FR qui travaille en liaison avec les opérateurs et les hébergeurs nationaux, le réseau des CERT nationaux et internationaux et les autorités de police concernées.


Investir dans les bonnes pratiques et faire de l’audit

cybersécurité
Cybersécurité - Pixabay

Conformément aux orientations fixées par le Président de la République le 18 février 2021, l’ANSSI propose aux collectivités des parcours de cybersécurité qui débutent par des phases d’audit. Conçus et financés par l’ANSSI, les parcours de cybersécurité proposent un pré-diagnostic et un accompagnement par des prestataires compétents, de la maîtrise d’ouvrage jusqu’à la mise en œuvre de recommandations concrètes de cybersécurité.

Pour sensibiliser aux bonnes pratiques, L'AMF et l'Agence nationale de la sécurité des systèmes d'information (ANSSI) ont même conçu des guides sur la cybersécurité à destination spécifique des collectivités territoriales. Les bonnes pratiques recommandées rappellent surtout aux collectivités qu'elles doivent faire le travail de renforcement de ces systèmes d’information en amont.

Nous avons listé les bonnes pratiques en anticipation d’une cyber attaque :

  • Sauvegarder les données - avoir un back-up

  • Maintenir à jour les logiciels et systèmes

  • Utiliser et maintenir à jour les logiciels antivirus

  • Mettre en œuvre une supervision “des journaux d’événements” qui veillent à la détection des incidents de sécurité.

  • Sensibiliser les collaborateurs (phishing, mots de passe …)

  • Évaluer l’opportunité de souscrire à une assurance cyber

  • Mettre en œuvre un plan de réponse aux cyberattaques

  • Penser sa stratégie de communication de crise cyber

Vers une réelle stratégie financière pour s’en prémunir?

Les collectivités territoriales doivent pouvoir engager des crédits pour financer leur architecture informatique. Cette stratégie, pilotée par les élus, doit engager la mise en place d’outils dédiés à une meilleure sécurisation des données.

De nombreuses collectivités font face à la perte de données, notamment dans le cas d’une attaque par rançongiciel. Dans le rapport du Sénat du 9 décembre 2021, M. Alexandre Ouzille, Premier-adjoint au Maire de Villers-Saint-Paul révèle : « Nous n'étions pas protégés contre ce type d'attaque et nous avons perdu l'ensemble des données informatiques, des ressources humaines et financières ».

Certains outils permettent de conserver les données avec un cloud ou dans des entrepôts de données, type Data Lake. Manty fait partie des solutions qui ont intégré un système de sauvegarde des données, ce qui a permis à certaines collectivités victimes de faire de la récupération de données. Récemment, une commune utilisatrice a pu correctement calculer la paie de ses agents malgré la perte de données initiale sur ses serveurs.

Et pour les petites communes avec moins de moyens ? Pour mieux cerner les besoins des communes de moins de 3 500 habitants en matière de cybersécurité, le GIP Cybermalveillance.gouv.fr a lancé une enquête à destination des élus, ouverte jusqu’à la mi-décembre 2021. Les résultats ne devraient pas se faire attendre.


Voilà, vous savez maintenant que faire pour protéger votre collectivité. Nous espérons que ces conseils vous seront utiles pour ne pas vous retrouver dans des situations difficiles, rencontrées par plusieurs de nos collectivités clientes récemment.