Une « matinale » pour appréhender les défis liés aux cyber-risques

La deuxième « Matinale » de Seine-et-Yvelines Numérique était consacrée, le 8 décembre 2021, à un sujet de plus en plus central pour les collectivités : la cybersécurité. L’occasion de dresser un état des lieux de la menace cyber, de profiter du retour d’expérience d’une ville victime d’une cyberattaque, d’examiner les solutions existantes, enfin de présenter en avant-première la démarche d’accompagnement de Seine-et-Yvelines Numérique qui sera disponible au printemps 2022.  

En 2020, le nombre de cyberattaques a été multiplié par quatre : une tendance confirmée en 2021 avec près de dix mille organisations victimes de piratage. Les collectivités locales et territoriales représentent 20 % des cyberattaques en France, un pourcentage qui en fait la cible numéro un des pirates du net. Preuve de cette tendance exponentielle, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a enregistré une hausse de 255 % de ses interventions entre 2019 et 2020. Une situation qui s’explique par plusieurs facteurs.  « Digitalisation, recours croissant au télétravail, externalisation : autant de facteurs qui rendent les organisations de plus en plus vulnérables aux cyberattaques. La sécurité est encore trop souvent envisagée sous un angle uniquement physique, sans prendre conscience de ce qui est devenu aujourd’hui le danger principal pour les entreprises comme pour les collectivités : le cyber-risque » explique Christophe Gomart, Général de Corps d’Armée, aujourd’hui Directeur de la sécurité, des risques et du management de crise pour Unibail-Rodamco-Westfield. La question n’est donc plus de savoir si une attaque va se produire, mais quand elle va se produire et comment être prêt pour y faire face.

Subir une cyberattaque constitue un choc durable. La commune yvelinoise de Houilles (33 000 habitants) en a fait l’amère expérience au mois de février 2021. Alors que l’équipe municipale était aux prises avec un autre virus, celui du Covid-19, un rançongiciel (ou ransomware) est venu infecter les systèmes d’information de la commune. « Une cyberattaque vous plonge dans un état de sidération. Il s’agit alors de réagir très vite pour assurer la continuité du service public. Dans ma commune, 80% des données se sont retrouvées cryptées et inaccessibles du jour au lendemain. Nous évaluons à près de 600 000 euros l’impact financier de cet événement qui a encore des conséquences aujourd’hui, dix mois après » témoigne Julien Chambon, Maire de Houilles, Conseiller départemental des Yvelines Et pour cause : le digital est aujourd’hui partout, à l’image des 80 logiciels métiers utilisés par les quelque 600 agents municipaux de la ville. Pour autant, la municipalité n’a pas cédé au chantage et a préféré couper court à tout contact avec les hackeurs. À la place, elle a décidé d’accélérer le tempo de sa modernisation informatique et de remettre à plat en un temps record l’architecture de ses systèmes d’information, une démarche initiée juste avant l’attaque avec l’aide précieuse d’un prestataire.

Quel intérêt les hackeurs peuvent-ils avoir à rançonner une collectivité comme Houilles ? Il faut savoir que le piratage informatique est désormais une industrie rentable et très organisée, dans laquelle les acteurs sont en mesure de lancer des campagnes avec un ciblage très large. Il faut savoir que 70 % des attaques ont pour origine une opération de hameçonnage (ou phishing) : le hackeur envoie un emailing contenant un lien infecté, et l’un des agents l’ouvre sans se méfier. Une fois entré dans le système et en fonction de ce qu’ils trouvent, il fixe un montant de rançon qu’il estime « raisonnable » en rapport avec la surface financière de leur cible. Alors comment éviter les incursions de ces malfaiteurs du net ? « On estime aujourd’hui que 5 à 10% du budget IT d’une organisation devrait être consacré à la cybersécurité. Au-delà des investissements technologiques, la clé d’une protection efficace réside dans l’organisation que l’on met en place en interne pour prévenir les cyber-risques, mais aussi dans la sensibilisation de l’ensemble des collaborateurs aux bons réflexes en matière de sécurité digitale » conseille Julien Coulet, Expert cybersécurité, Fondateur Excube. Une autre clé réside dans la manière dont une collectivité gère ses cyber-risques : on peut s’équiper des meilleures technologies, si personne ne pilote tout cela, cela ne servira à rien. Nommer un élu référent sur le sujet ou recruter un responsable de la sécurité des systèmes d’information (RSSI) peut se révéler décisif.

Avec cette matinale, l’idée de Seine-et-Yvelines Numérique n’était pas d’effrayer ses adhérents mais bien de les aider à prendre conscience du niveau de la menace. Le syndicat mixte, dont la mission est de proposer des plateformes de services numériques mutualisés, a décidé de renforcer son offre déjà existante en matière de cybersécurité. Dès avril 2022, les adhérents auront accès à de nouvelles prestations en matière d’audit, de sensibilisation, de formation, de résolution d’incident ou encore de cyber-assurance. Autant d’investissements nécessaires qui pourront être cofinancés dans le cadre du plan France Relance, et pour lesquels, outre l’accompagnement de Seine-et-Yvelines Numérique, les collectivités bénéficieront aussi de l’appui de l’ANSSI.