shocky - Fotolia

Ransomware : la transparence toujours relative des collectivités territoriales

Si le secteur privé a souvent du mal à communiquer sur les cyberattaques de rançongiciels dont il est victime, le secteur public est loin d’être exemplaire, cédant parfois au chantage des attaquants, en se gardant bien de le reconnaître.

Nous avons identifié près de 80 collectivités territoriales ayant été victimes d’attaque informatique menée à coup de ransomware – ou rançongiciel, voire cryptovirus comme l’on peut le lire parfois – depuis début 2020. Au mois de septembre de cette année-là, l’Agence nationale pour la sécurité des systèmes d’information (Anssi) avait indiqué avoir traité, en huit mois, 104 attaques de ransomwares. Sur les neuf premiers mois de 2020, nous avions identifié une vingtaine de collectivités territoriales ayant été concernées.

L’Anssi ne couvre pas que le secteur public, et encore moins uniquement les collectivités territoriales, mais l’importance de l’écart laisse à imaginer que de nombreuses victimes ont réussi à passer les incidents sous silence. Et les indices confortant cette suspicion ne manquent pas.

Début 2021, nos confrères du Parisien faisaient état de 15 cyberattaques constatées, en 2020, contre les systèmes d’information de collectivités territoriales de l’Oise, dont seulement 8 sont identifiées. On y découvrait par exemple Boubiers, le 29 mai 2020 avec mention d’intensité « négligeable ». Pour Creil, le 28 juillet, on parlait d’intensité « limitée ». Mais, quelle que soit l’intensité évoquée, il faut bien comprendre que du chiffrement de systèmes a été engagé par les attaquants.  

Ces chiffres sont issus de l’Association pour le développement et l’innovation numérique des collectivités (Adico). Et comme le précisaient nos confrères, seules les 8 collectivités identifiées « ont rendu publiques ces informations, conformément aux exigences de la Commission nationale de l’informatique et des libertés (CNIL) ». Une surprise ? Pas vraiment.

Début décembre 2020, nous avions contacté la mairie de Bayonne, suite aux informations publiées par nos confrères de Sud-Ouest. La direction de la communication de la mairie nous avait aimablement adressé une fin de non-recevoir : « la mairie de Bayonne ne souhaite plus s’exprimer sur ce sujet ».

Et la communication aux administrés ? Plus que limitée. Pas un mot de la cyberattaque de ransomware dans le compte-rendu du conseil municipal, qui a suivi à Alfortville, à Vincennes, Besançon ou encore Creil, pour ne prendre que quelques exemples. À l’inverse, Bondy a récemment accepté de revenir sur l’incident, révélant une facture considérable. 

Mais dans la plupart des cas, la communication publique, sur le moment, est restreinte à un message d’information évoquant une panne ou un incident informatiques, et réduisant les capacités opérationnelles de la collectivité. Rares ont été les collectivités évoquant ouvertement l’implication d’un rançongiciel – La Rochelle et Annecy l’ont fait au moment de l’attaque, mais sans aller jusqu’à évoquer la famille du ransomware impliqué. Le département d’Indre-et-Loire fera-t-il mieux ? 

L’Adico, un opérateur public de services numériques, intervient en fait comme DPO mutualisé pour plus de 1 500 collectivités locales et a donc été amené à en accompagner plusieurs dans leurs déclarations de violations de données personnelles auprès de la CNIL.

Interrogé en janvier 2021, Emmanuel Vivé (DG Adico) reconnaissait volontiers que la transparence n’est pas forcément au rendez-vous en matière de communication lorsque survient une cyberattaque : « certains maires refusent catégoriquement que l’information se diffuse ». Et cela même lorsque toutes les données sont perdues et que la mairie doit fermer au public : « il faut que l’on arrive à faire prendre conscience que cela arrive, que cela va arriver, et que cela n’arrivera pas qu’aux autres. Et surtout, que l’État ne parviendra pas à prendre les bonnes mesures si l’on cache ce qui se passe ».

« Certains maires refusent catégoriquement que l’information se diffuse ».
Emmanuel VivéDirecteur général, Adico

Parce que pour Emmanuel Vivé, « si on ne remonte que 10 % des cas, je ne vois pas comment, demain, l’État mettra des moyens pour permettre aux collectivités de disposer de solutions de cybersécurité adaptées ». Las, il y a maintenant un an et demi, selon lui, la situation était telle que « les plaintes en gendarmerie sont minimes ».

Parler RGPD et aborder le sujet de la cybersécurité par l’angle du risque et du juridique, plutôt que par celui du technique, aide toutefois, selon Emmanuel Vivé, à la prise de conscience : « quand on commence à parler responsabilité juridique, on reçoit des réactions différentes ».

Certains cas de collectivités victimes de rançongiciel – où il est connu que leurs opérateurs pratiquent la double extorsion, mais pour lesquels aucune diffusion de données volées n’est à ce jour à déplorer – interrogent. Cependant, confiait alors Emmanuel Vivé, oui, des collectivités territoriales cèdent au chantage et paient. Il expliquait alors avoir « le cas d’une communauté de communes, qui a payé en bitcoin la reconstruction de ses données. […] Tous les élus ont acheté des bitcoins ». Afin de se faire rembourser, « ils se sont arrangés avec le trésorier ».

Pour résumer, le directeur général de l’Adico concluait : « il y a une culture des élus de cacher [ces incidents], comme si c’était honteux. […] C’est malheureusement la réalité. Et ça n’évolue pas forcément ».

Justement, depuis, la situation a-t-elle évolué ? On peut en douter légitimement. Les données du GIP Acyma, qui opère le portail Cybermalveillance.gouv.fr, suggèrent que plus de 160 administrations et collectivités territoriales ont été touchées par une cyberattaque avec rançongiciel au cours du premier semestre 2022. Combien sommes-nous parvenus à en recenser, à partir d’articles de presse, de publications sur les réseaux sociaux, ou de revendications de cybercriminels ? Treize.

Interrogé fin septembre sur Oxygène Radio, Joël Balandraud, maire d’Évron, l’assure sans ambages : « beaucoup [de collectivités, N.D.L.R.] payent, mais ne vous le disent pas ; ce sont des choses qui sont un peu honteuses, donc il faut libérer la parole là-dessus ».

Article publié initialement le 6 janvier 2021, mis à jour une première fois le 13 juillet 2022.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close