mehaniq41 - stock.adobe.com

Ransomware : la transparence toute relative des collectivités territoriales

Si le secteur privé a souvent du mal à communiquer sur les cyberattaques de rançongiciels dont il est victime, le secteur public est très loin de se poser en parangon de la vertu. Jusqu’à parfois céder au chantage des attaquants.

Nous avons identifié une quarantaine de collectivités territoriales ayant été victimes d’attaque informatique menée à coup de ransomware – ou rançongiciel, voire cryptovirus comme l’on peut le lire parfois – en 2020. Début septembre dernier, l’Agence nationale pour la sécurité des systèmes d’information (Anssi), a indiqué avoir traité, depuis le début de l’année, 104 attaques de ransomwares. Sur les neuf premiers mois de 2020, nous avons identifié une vingtaine de collectivités territoriales ayant été concernées.

Suite de l'article ci-dessous

L’Anssi ne couvre pas que le secteur public, et encore moins uniquement les collectivités territoriales, mais l’importance de l’écart laisse à imaginer que de nombreuses victimes ont là réussi à passer les incidents sous silence. Et les indices confortant cette suspicion ne manquent pas.

Récemment, nos confrères du Parisien faisaient ainsi état de 15 cyberattaques constatées, en 2020, contre les systèmes d’information de collectivités territoriales de l’Oise, dont seulement 8 sont identifiées. On y découvre par exemple Boubiers, le 29 mai 2020 avec mention d’intensité « négligeable ». Pour Creil, le 28 juillet, on parle d’intensité « limitée ». Mais, quelle que soit l’intensité évoquée, il faut bien comprendre que du chiffrement de systèmes a été engagé par les attaquants.  

Ces chiffres sont issus de l’Association pour le développement et l’innovation numérique des collectivités (Adico). Et comme le précisent nos confrères, seules les 8 collectivités identifiées « ont rendu publiques ces informations, conformément aux exigences de la Commission nationale de l’informatique et des libertés (CNIL) ». Une surprise ? Pas vraiment.

Début décembre, nous avons contacté la mairie de Bayonne, suite aux informations publiées par nos confrères de Sud-Ouest. La direction de la communication de la mairie nous a aimablement adressé une fin de non-recevoir : « la mairie de Bayonne ne souhaite plus s’exprimer sur ce sujet ».

Et la communication aux administrés ? Plus que limitée. Pas un mot de la cyberattaque de ransomware dans le compte-rendu du conseil municipal qui l’a suivi à Alfortville, à Vincennes, Besançon ou encore Creil, pour ne prendre que quelques exemples. Dans la plupart des cas, la communication publique, sur le moment, a été restreinte à un message d’information évoquant une panne ou un incident informatique, et réduisant les capacités opérationnelles de la collectivité. Rares ont été les collectivités évoquant ouvertement l’implication d’un rançongiciel – La Rochelle et Annecy l’ont récemment fait, mais sans aller jusqu’à évoquer la famille du ransomware impliqué.

L’Adico, un opérateur public de services numériques, intervient en fait comme DPO mutualisé pour plus de 1 500 collectivités locales et a donc été amenée à en accompagner plusieurs dans leurs déclarations de violations de données personnelles auprès de la CNIL.

Emmanuel Vivé reconnaît volontiers que la transparence n’est pas forcément au rendez-vous en matière de communication lorsque survient une cyberattaque : « certains maires refusent catégoriquement que l’information se diffuse ». Et cela même lorsque toutes les données sont perdues et que la mairie doit fermer au public : « il faut que l’on arrive à faire prendre conscience que cela arrive, que cela va arriver, et que cela n’arrivera pas qu’aux autres. Et surtout, que l’État ne parviendra pas à prendre les bonnes mesures si l’on cache ce qui se passe ».

« Certains maires refusent catégoriquement que l’information se diffuse ».
Emmanuel VivéDirecteur général, Adico

Parce que pour Emmanuel Vivé, « si on ne remonte que 10 % des cas, je ne vois pas comment, demain, l’État mettra des moyens pour permettre aux collectivités de disposer de solutions de cybersécurité adaptées ». Las, aujourd’hui, selon lui, la solution est telle que « les plaintes en gendarmerie sont minimes ».

Parler RGPD, aborder le sujet de la cybersécurité par l’angle du risque et du juridique, plutôt que par celui du technique, aide toutefois, selon Emmanuel Vivé, à la prise de conscience : « quand on commence à parler responsabilité juridique, on reçoit des réactions différentes ».

Certains cas de collectivités victimes de rançongiciel dont il est connu que leurs opérateurs pratiquent la double extorsion, mais pour lesquelles aucune diffusion de données volées n’est à ce jour à déplorer, interrogent. Mais pour Emmanuel Vivé, oui, il arrive que des collectivités territoriales cèdent au chantage et paient : « j’ai le cas d’une communauté de communes, qui a payé en bitcoin la reconstruction de ses données. […] Tous les élus ont acheté des bitcoins ». Pour se faire rembourser… « ils se sont arrangés avec le trésorier ».

Pour résumer, le directeur général de l’Adico, conclut : « il y a une culture des élus de cacher [ces incidents], comme si c’était honteux. […] C’est malheureusement la réalité. Et ça n’évolue pas forcément ».

Pour approfondir sur Gestion de la sécurité

Close