Les rançongiciels (ou ransomwares) sont en pleine expansion. Lors de ces attaques cyber, les pirates chiffrent les données de la cible puis proposent de lui vendre la clé de déchiffrage. Ces rançons sont souvent payées en Bitcoin ou autres cryptomonnaies. La popularité de Bitcoin, Ethereum ou Monero ces dernières années sert d’ailleurs de carburant aux attaques ransomware.
Alors qu’on pensait ce genre d’attaques réservées aux grandes entreprises, de nouvelles cibles se dessinent : les villes et collectivités publiques.
De grandes villes, comme Liège, en ont fait les frais – mais aussi de plus modestes, comme Douai, ou même de petites petites collectivités locales de quelques milliers d’habitants seulement, comme la commune de Marolles-En-Brie. Cette ville du Val-de-Marne, qui n’abrite que cinq mille habitants, a été victime d’une attaque de type ransomware en janvier 2021.
Pas de personnel qualifié…
Ces attaques sont plus compliquées à gérer pour des acteurs publics de petite taille. Bien souvent, ils n’ont pas de personnel spécialisé en interne pour y faire face. C’est en partie pour cela que l’on assiste à des appels à la mutualisation pour mieux protéger les petites collectivités.
Emmanuel Vivé est président du réseau national Déclic et dirigeant de l’Adico. Ces deux structures interviennent auprès de plus de deux mille collectivités locales sur les questions numériques. Pour ce spécialiste, il y a urgence à se regrouper pour mieux sensibiliser et former les personnes concernées, afin qu’elles puissent se défendre en cas d’attaque. Un point de vue partagé par l’ANSSI, qui prête une attention toute particulière à ces actions de mutualisation. En témoignent le lancement officiel de la plateforme cybermalveillance.gouv.fr en 2019 visant à créer un guichet unique sur le thème de la cybersécurité et la labellisation « d’ExpertCyber », dont l’Adico fait partie.
Début 2021, l’ANSSI annonçait financer des audits de sécurité pour les collectivités territoriales – une des mesures du plan de relance annoncé par le gouvernement en septembre 2020. Une intention louable, mais difficilement applicable à toutes les communes de France.
… et peu de budget dédié
De plus « un audit de sécurité complet est coûteux : ce n’est pas forcément la bonne approche » pour des petites collectivités, alarme Emmanuel Vivé. L’addition peut en effet s’élever à plusieurs dizaines de milliers d’euros. Or la fréquence des attaques a peut-être augmenté, mais ce n’est pas le cas des budgets en cybersécurité. Mais ce n’est pas tout : un audit a pour but de corriger les failles relevées, pas forcément de les anticiper.
Pour répondre à ces risques, la réponse la plus sûre reste d’investir dans la sensibilisation et la formation des personnels pour les collectivités, rappelle le président du réseau Déclic. Mais ce n’est pas simple, et pour sensibiliser les principaux intéressés, la pédagogie reste de mise. « On risque de perdre l’attention des élus si on ne fait que parler technique. On préfère donc aborder les risques juridiques et la montée en compétence possible des agents. »
Vers un co-financement des ressources
Le co-financement de postes de RSSI (Responsable de la Sécurité des Systèmes d’Information) peut aussi être une partie de la solution. Cette mesure visant à la création de postes mutualisés entre plusieurs communes a aussi pour but d’inciter les collectivités à ne pas négliger le sujet.
Certains territoires ont déjà éprouvé le système. Numerian, un syndicat mixte situé en Ardèche, profite à 438 collectivités représentant plus de 460 000 habitants.
Il ne fait nul doute qu’avec l’augmentation des attaques et le coût de celles-ci (pouvant se chiffrer en centaines de milliers d’euros), le sujet va devenir de plus en plus central pour les collectivités. Il était ainsi déjà au programme des rencontres de Déclic en mai 2021, et sera approfondi au mois d’octobre lors les prochaines rencontres nationales du réseau.