L’Association des Maires du Loiret (AML 45) organisait jeudi dernier une conférence autour de la cybersécurité à destination des maires et élus du Loiret. L’occasion de faire le point sur une menace encore beaucoup trop sous-estimée par les intéressés…
Comment protéger les collectivités locales des cyberattaques, dont on a encore pu voir « l’efficacité » il y a encore quelques jours, lors du déclenchement de la guerre en Ukraine ? Plus près de nous, dans notre département, Pauline Martin, présidente de l’Association des Maires du Loiret, connaît bien ce sujet pour en avoir été victime en décembre 2020 dans sa mairie de Meung-sur-Loire. D’après les gendarmes, les collectivités sont d’ailleurs parmi les premières cibles des pirates avec les industriels, le domaine commercial et celui de la santé. « Tout le monde est concerné », insiste ainsi le lieutenant-colonel Pascal Leplongeon, officier adjoint chargé de la police judiciaire au niveau régional et référent « Intelligence économique et cyberdéfense ». Celui-ci estime que les collectivités risquent d’être de plus en plus visées dans un futur très proche, car les entreprises sont plus en avance dans leurs programmes de lutte contre cette menace. La cybercriminalité devrait dès lors se reporter sur des cibles plus « faciles ». « La collectivité territoriale travaille avec d’autres partenaires ; elle peut être un maillon faible pour aller plus loin… » prévient Pascal Leplongeon.
Premières attaques en 2003
La semaine dernière, lors d’un échange avec des maires du Loiret, le référent cybersécurité de la gendarmerie locale a brossé l’historique des attaques concernant les collectivités. La première, en 2003, a concerné le site Internet de la Ville de Toulouse : une petite icône avait été ajoutée et débouchait sur des sites de rencontres dans la Ville Rose… La même commune a de nouveau été victime d’une attaque en 2009, par le biais d’une annonce parlant de « batifolage dans tous les coins » – décidément… À Clichy-sous-Bois, cette même année, le site de la mairie annonçait la démission de son maire… Les villes sont aussi victimes des logiciels de rançon, ou « rançongiciels ». En 2018, aux États-Unis, les communes d’Atlanta et de Baltimore se sont vu demander des rançons respectives de 51 000 et 100 000 dollars en bitcoins. Un préjudice de près de 17 millions de dollars pour la première, et de 18 millions pour la seconde. La manœuvre ne se limite évidemment pas aux États-Unis : la mairie de Lille a récemment été victime d’une attaque via une application concernant les cartes de transport, de même que la commune de La Croix-Valmer dans le Var. « Une rançon a été demandée, mais le maire a heureusement refusé de payer », raconte Pascal Leplongeon.
Un enjeu de souveraineté
Certaines attaques font encore davantage frémir les élus, car elles ne touchent pas seulement aux finances : modification du dosage de la soude caustique dans l’eau potable en juin 2021 ou prise de contrôle des commandes de la station d’épuration d’Oloron-Sainte-Marie avec un rançongiciel ont été des cas récemment rencontrés. Des actes qui peuvent avoir des conséquences sur les vies humaines. « Aux États-Unis, des étudiants ont réussi, via le wifi public d’un hôpital, à modifier des dosages de pompes à insuline ! Heureusement, ce secteur de l’hôpital n’était alors plus en activité… » En région Centre-Val de Loire, une clinique « avec un nombre de lits importants a été la cible d’une attaque et a arrêté momentanément son activité. » Pour les experts de la gendarmerie, une cyberattaque peut avoir un impact au niveau des collectivités car elle touche à ses missions : état civil, cadastre, fiscalité ou encore subventions. Les portails « familles » sont également le moyen de récupérer les données des usagers.
Paradoxalement, les cyberattaques contre les collectivités sont peu connues et peu médiatisées, observe Pascal Leplongeon. Mais avec la mise en place du Règlement Général sur la Protection des Données (RGPD), « il y a désormais une obligation de signaler ces incidents pour les collectivités ». Le contexte de guerre en Ukraine doit cependant conduire les collectivités à redoubler de vigilance. « Les Russes ont des capacités importantes en la matière, mais il peut y avoir également un effet d’opportunisme, souligne Pascal Leplongeon. La cybersécurité est un enjeu de souveraineté nationale. »
Ne jamais payer la rançon !
Face à cette menace, « il faut avoir un plan de gestion pour ce genre de crise, insiste le référent cybersécurité de la gendarmerie locale. Et en cas de demande de rançon, il ne faut surtout pas payer. Car même en payant, rien ne garantit de récupérer les données. D’ailleurs, si vous les récupérez, elles peuvent entre-temps également avoir été vendues ou modifiées… » Quelques gestes simples peuvent protéger de ce risque de cyberattaque, comme la déconnexion systématique, la séparation du réseau wifi public de celui utilisé par la mairie, la réalisation de sauvegardes régulières mais avec un stockage dans un lieu différent… La sécurisation du matériel dans le cadre du télétravail doit aussi être abordée, de même que celles des portables, devenus « de petits ordinateurs ». Ainsi le choix de mots de passe complexes est important : un mot de quatorze lettres en minuscules et majuscules avec quelques signes spéciaux vous assure « un temps de décryptage de 200 millions d’années ». « Pour s’en souvenir, on peut choisir une phrase, conclut Pascal Leplongeon. Il faut voir cela comme la sécurité de votre maison… » Un conseil valable pour les collectivités comme pour les particuliers.
