Collectivités territoriales : que celles qui n’ont pas eu leur cyberattaque se désignent

Ce jeudi 26 octobre, le site Web de la ville d’Annecy affiche une information de « sécurité informatique », faisant état d’un « incident » ayant pour conséquence l’interruption momentanée de « l’accès et traitement de certaines démarches administratives ». 

Ces effets suggèrent que l’incident pourrait bien mériter d’être désigné comme une cyberattaque, si l’on se réfère à la définition qu’en donne le Club des experts de la sécurité de l’information et du numérique (Cesin).

Ce ne serait pas une première : Annecy a été frappé par une cyberattaque fin novembre 2021. Le ransomware Hive avait alors été utilisé contre la ville. 

Ce ne serait pas non plus un cas isolé : depuis janvier 2020, nous avons recensé plus de 120 collectivités territoriales confrontées à une cyberattaque (voir frise chronologique en fin d’article). Parmi les plus récentes connues publiquement : Morlaix, Morsang-sur-Orge, ou encore Betton, et la communauté de communes des Gorges de l’Ardèche. 

De son côté, l’Agence nationale de la sécurité des systèmes d’information (Anssi) vient de publier un rapport sur les cybermenaces pesant sur les collectivités territoriales, au premier rang desquelles figurent les cyberattaques avec rançongiciel. 

Selon ce rapport, « de janvier 2022 à juin 2023, l’Anssi a traité 187 incidents cyber affectant les collectivités territoriales, soit une moyenne de 10 incidents par mois ». Et de préciser que « le périmètre étudié prend en compte les communes, les établissements publics de coopération intercommunale (EPCI), les départements, les régions, les collectivités territoriales uniques et les collectivités d’outre-mer ». En tout, « ces incidents représentent 17 % de l’ensemble des incidents traités par l’Anssi sur la période ».

Si ces chiffres peuvent paraître impressionnants, l’Anssi pondère : « il existe près de 35 000 communes, 1 250 EPCI à fiscalité propre et près de 9 000 EPCI sans fiscalité propre en 2023 sur l’ensemble du territoire national ».

Reste que, sur les 187 incidents considérés, il faut compter avec 42 incidents affectant un département, et 12 incidents touchant une région : « ces chiffres se révèlent élevés en comparaison du nombre de départements (101) et de régions (18) sur le territoire français ».

Ces chiffres soulignent également la transparence toute relative des collectivités territoriales : sur la période considérée par l’Anssi pour son rapport, seule une petite dizaine d’incidents de cybersécurité ayant touché un département ou une région est publiquement connue.

« Beaucoup [de collectivités, N.D.L.R.] payent, mais ne vous le disent pas ; ce sont des choses qui sont un peu honteuses, donc il faut libérer la parole là-dessus ».

Interrogé en janvier 2021, Emmanuel Vivé (DG de l’Adico, qui intervient comme DPO mutualisé pour plus de 1 500 collectivités territoriales) reconnaissait volontiers que la transparence n’est pas forcément au rendez-vous en matière de communication lorsque survient une cyberattaque : « certains maires refusent catégoriquement que l’information se diffuse ». Et cela même lorsque toutes les données sont perdues et que la mairie doit fermer au public.

Interrogé fin septembre 2021 sur Oxygène Radio, Joël Balandraud, maire d’Évron, l’assurait sans ambages : « beaucoup [de collectivités, N.D.L.R.] payent, mais ne vous le disent pas ; ce sont des choses qui sont un peu honteuses, donc il faut libérer la parole là-dessus ».

Accessoirement, même l’Anssi ne semble avoir qu’une vue limitée de l’ampleur de la menace pour les collectivités territoriales. C’est du moins ce que suggèrent les chiffres de cybermalveillance.gouv.fr : ce dernier avait enregistré plus de 160 demandes d’assistance émanant d’administrations et de collectivités territoriales au seul premier semestre 2022. Pour les 18 mois entre janvier 2022 et juin 2023 inclus, il faut compter avec plus de 500 demandes d’assistance émanant de ces organisations.