« Les collectivités devraient traiter la cybersécurité comme les autres services municipaux »
Entre 2019 et 2020, le nombre de cyberattaques envers les collectivités territoriales a augmenté de 50 %. Des attaques ciblés notamment sur les systèmes d’information des mairies. C’est le cas notamment pour les communes d’Alfortville et de Vincennes, dans le Val-de-Marne, fin 2020 ou plus récemment dans les Yvelines à Houilles. C’est dans ce contexte que l’entreprise Dimoxilo, située à Carrières-sur-Seine, accompagne les collectivités dans leurs projets autour de leur système d’information. Son président Thomas Hebert revient sur les enjeux et l’importance de la cybersécurité pour les administrations publiques.
Actu-Juridique : L’année 2020 a été marquée par l’augmentation du nombre de cyberattaques notamment pour les collectivités publiques. Comment peut-on expliquer ce phénomène ?
Thomas Hebert : Dans une attaque informatique, il y a un peu une notion de pêche. Quand on lance de l’amorce dans un lac, on essaie de brasser un peu large et mord à l’hameçon qui est le moins bien préparer. Les cyberattaques ne sont donc pas forcément ciblées sur les collectivités. Elles sont assez générales mais les victimes sont celles qui sont le moins bien préparées, dont les collectivités font parties.
« Les cyberattaques ne sont donc pas forcément ciblées sur les collectivités mais les victimes sont celles qui sont le moins bien préparées »
Ensuite, les domaines des administrations sont facilement identifiables : le nom de la ville avec un « – » ou encore CHU « – » pour les hôpitaux. Ces noms de domaine permettent de rebondir sur l’IP public et les pirates peuvent cibler leurs attaques. Enfin, il y a aussi beaucoup de cyberattaques dans le secteur privé. Mais l’image de marque doit être préservée du coup les entreprises touchées par ces phénomènes communiquent moins que les collectivités publiques.
AJ : Les cyberattaques sont-elles une nouveauté pour le secteur public ?
T. H. : Les cyberattaques montent en puissance. Il y a toujours eu des attaques. Quand on regarde les équipements, on constate qu’elles sont quotidiennes. Ce sont dix tentatives d’intrusion par demi-journée. C’est le minimum. Après, c’est sûr qu’il y a une recrudescence depuis quelques années. Les techniques s’affinent. Les cyberattaques se démocratisent avec le darkweb et le navigateur « Tor », cela permet d’acheter des cryptolockers. Il y a donc beaucoup plus de personnes qui peuvent acheter les outils pour lancer des attaques d’envergure. Avant, c’était réservé à des experts qui réussissaient à percer des systèmes. Des individus très spécialisés, formés, pointus.
AJ : Pourquoi les collectivités sont-elles des cibles vulnérables ?
T. H. : Il y a une vraie problématique de gouvernance des systèmes d’information dans les collectivités. Souvent c’est le facteur humain qui explique cela. Dans une société privée, vous allez avoir un patron, des clients, un chiffre d’affaires à maintenir. L’équipe dirigeante d’une entreprise est donc particulièrement vigilante et sensibilisée sur ce point. Le public l’est aussi.
« Il y a une vraie problématique de gouvernance des systèmes d’information dans les collectivités »
Mais je pense qu’il y a souvent une carence technique par rapport aux risques encourus et aux mesures de protection adéquates de la part des équipes dans les administrations. C’est un manque de formation et de prise en compte de la menace.
AJ : Quels types de cyberattaques atteignent les collectivités et quelles sont les conséquences ?
T. H. : On constate deux types de cyberattaques : les attaques de déni de service c’est-à-dire que les serveurs sont bombardés de requêtes. Ils ne sont plus capables de les traiter avec comme conséquence d’arrêter le service. Cela empêche les serveurs de fonctionner. Mais le service peut redémarrer. Il y a peu d’impact et les systèmes d’information peuvent se redresser. Dans le public, depuis quelques années, on constate aussi la menace des ransomwares. Les cryptolockers chiffrent les données et les rendent inutilisables. Pour les débloquer, ils demandent une rançon. Ils ont compris que les données gérées par une collectivité avaient de la valeur. Cette valeur repose sur l’utilité de ces données. Sans elles, les collectivités ne peuvent pas assurer leur mission de service public. Dans les hôpitaux par exemple, les données ne sont pas exploitées à titre commercial, mais en cryptant des données de santé d’un hôpital, cela empêche de traiter correctement des patients. C’est le même phénomène dans les villes : les cyberattaques peuvent empêcher la délivrance d’une carte d’identité, l’inscription des enfants à la cantine, le paiement du centre de loisirs, le dépôt de plainte à la police municipale. Les incidences sont innombrables car il y a beaucoup de données pour plusieurs secteurs. La particularité aussi c’est l’horizontalité des services. Les systèmes d’information des collectivités sont organisés en silo. Il y a beaucoup de bases de données ce qui les rend plus vulnérables.
AJ : Quel constat faites-vous sur le terrain concernant la prise en compte de la cybersécurité par les collectivités ?
T. H. : Les collectivités territoriales sont conscientes du risque souvent au niveau politique avec les élus. Mais, la traduction concrète sur le terrain est parfois compliquée. Les élus vont exprimer un projet politique. Ce projet peut intégrer la sécurité informatique qui va être transmis au directeur général des services. Son rôle c’est de traduire ce programme politique en mesures concrètes en faisant fonctionner l’administration. Problème, à propos de la cybersécurité, la traduction va se faire ponctuellement au lieu d’être réalisée continuellement. L’investissement pour la résilience face à cette menace informatique se fait par à coup au lieu d’être continu. Il faudrait plutôt investir régulièrement dans la sécurité, prendre des mesures régulièrement car les pirates évoluent beaucoup plus vite que les différents systèmes d’information. Une mise à jour permanente des compétences humaines et du matériel est nécessaire, face aux cyberattaques.
AJ : Comment sont organisés les collectivités par rapport à cet enjeu ?
T. H. : Dans les collectivités, il y a une question de strates. Ce n’est pas la même manière de fonctionner quand vous devez gérer 100 000 habitants, 6 000 habitants ou 200 habitants. Pour une collectivité de moins de 15 000 habitants, l’activité est en général sous-traitée par une société informatique. Entre 15 000 et 40 000 habitants, il va y avoir un service informatique plus ou moins fourni en fonction des territoires. J’ai le ratio d’une personne en interne pour 50 ordinateurs dans les services. Enfin pour les collectivités de plus de 50 000 habitants, vous allez avoir une organisation plus structurée. On trouve un fonctionnement organisationnel au niveau des directions des systèmes d’informations (DSI), qui se rapproche du secteur privé. Il va notamment y avoir un responsable de la sécurité des systèmes d’information (RSSI). Sa mission est de gérer la sécurité. Le problème des collectivités c’est d’avoir du travail pour un ingénieur en sécurité à plein temps. C’est assez rare. Il faut un système d’information conséquent. Les plus petits territoires ne peuvent pas avoir ce genre de profil. C’est nécessaire de réfléchir à l’organisation de ses ressources internes, savoir ce qui est sous-traité, externalisé ou internalisé pour obtenir une vigilance à jour et proactive.
AJ : Qu’en est-il des collectivités de la région Île-de-France ?
T. H. : En Île-de-France, c’est assez particulier. Il y a beaucoup de grandes villes. C’est assez différent de la province où l’on va trouver des regroupements par communauté de communes ou communautés d’agglomérations avec une ville centre et des plus petites municipalités autour d’elle. En région parisienne, les zones urbaines sont importantes avec des communes entre 20 000 et 50 000 habitants la plupart du temps. De nombreuses collectivités franciliennes ont donc un service informatique en interne. C’est moins le cas en province.
AJ : Quelles sont les solutions face aux cyberattaques pour les collectivités ?
T. H. : Il faut être résilient. Le sujet doit être traité au quotidien au même titre que le paiement des fonctionnaires, l’inscription à la cantine pour les enfants des administrés, … bref comme l’ensemble des services d’une mairie. Cette gestion peut passer par une direction des systèmes d’information ou par des prestataires spécialisés. Ces spécialistes externes peuvent venir faire un point neutre, en expliquant aux différentes collectivités la plus-value de chaque solution.
« Il devrait y avoir une ligne budgétaire dans le budget des collectivités dédié à la sécurité informatique, tous les ans »
Par expérience, en découvrant différentes structures, ils vont arriver à avoir un œil aguerri sur les points de faiblesses des systèmes d’information. Comme je le disais le fonctionnement peut aussi se faire en interne des collectivités. Mais, un vrai management quotidien est nécessaire. La direction générale des services et la direction des systèmes d’information doivent travailler de concert. La menace doit être prise sérieusement en matière financière et de ressources humaines. Il devrait y avoir une ligne budgétaire dans le budget des collectivités dédié à la sécurité informatique, tous les ans. Ce qui, aujourd’hui, est rarement le cas.
Référence : AJU176609