Article rédigé par Fabienne Proux, 6 décembre 2023
Comment se prémunir contre les cyberattaques ? C’était le thème de la rencontre mensuelle du Cercle des élus locaux le mardi 5 décembre. Après le témoignage d’Eric Berdoati, maire de Saint-Cloud, victime d’un rançongiciel en janvier 2022, les échanges ont porté sur les démarches à mettre en place pour faire face à cette menace grandissante et en mutualiser les coûts, assez prohibitifs pour une collectivité locale. Le 21 janvier 2022, Saint-Cloud (Hauts-de-Seine) a frôlé la catastrophe. La commune a en effet été victime d’une cyberattaque avec demande de rançon, ce que le jargon numérique appelle un rançongiciel, mettant entre autres la main sur les données personnelles des usagers des services municipaux à la petite enfance ou encore ayant déposé des mains courantes auprès de la police municipale.
La mairie de Saint-Cloud a été victime d’une cyberattaque en janvier 2022 qui a exposé 900 habitants. © DR « Nous avons identifié 900 personnes exposées qui ont été prévenues dans la foulée, ainsi que via les réseaux sociaux pour être très transparents sur la situation », a témoigné Eric Berdoati, maire de Saint-Cloud, le mardi 5 décembre devant une trentaine d’élus franciliens, participant à la rencontre mensuelle du Cercle des élus locaux à Paris (6e arr.), le think tank fondé par Hugues Anselin, président de Fursac, Anselin et associés, et Etienne Lengereau, maire de Montrouge. Autre dommage, les données concernant les ressources humaines de la Ville ont également été touchées, « mais heureusement les paies avaient été faites deux jours avant », a ajouté Eric Berdoati, précisant que la commune n’a pas payé la rançon. « En revanche, nous avons porté plainte. C’est très important de le faire, car une cyberattaque a toujours une méthodologie qui peut être identifiée en portant plainte ».
Un préjudice à 105 000 euros
Dans ce cas, la brigade de gendarmerie intervient de suite et, concernant Saint-Cloud, pendant un jour et demi. L’origine de l’intrusion a été ainsi identifiée comme provenant du domicile d’un agent qui télétravaillait et utilisait sa Livebox sans VPM sécurisé.
Etienne Lengereau, maire de Montrouge, et Eric Berdoati, maire de Saint-Cloud, lors de la rencontre mensuelle du Cercle des élus locaux le mardi 5 décembre à Paris. © Jgp La collectivité a d’emblée mis en place une cellule de crise et est restée paralysée jusqu’au mardi suivant, mais l’ensemble des systèmes n’a été rétabli que le 11 février. Saint-Cloud n’étant pas assurée pour ce genre de dommage, la facture s’est élevée à 60 000 euros environ auxquels ont été ajoutés 45 000 euros d’investissement. « Tant qu’une cyberattaque n’est pas arrivée, nous ne nous mobilisons pas vraiment », a reconnu Eric Berdoati. Tout l’enjeu consiste donc à anticiper la menace, reste à savoir comment s’y prendre. « L’Anssi (Agence nationale de la sécurité des systèmes d’information) propose aux collectivités locales des audits qui aboutissent à des préconisations, par exemple de sensibiliser régulièrement les agents et de faire des campagnes de phishing (piège dans les mails) avec des leurres », a cité Denis Larghero, maire de Meudon (Hauts-de-Seine), qui n’a pas encore fait l’objet d’une cyberattaque mais redoute « le turnover dans les équipes », arguant que dans 80 % des cas, ces intrusions relèvent d’une défaillance humaine.
Externaliser la défense
Au centre interdépartemental de gestion (GIG) de la grande couronne basé à Versailles, la cyberattaque de janvier 2022, menée à partir d’une pièce jointe envoyée dans un mail, a coûté 1 million d’euros de préjudice. Depuis, et afin de « capitaliser sur son expérience », l’établissement public local a mis en ligne un guide pour « gérer la crise, se reconstruire et se protéger ». Des consultants de EY et de Soft partner invités par le Cercle des élus locaux ont de leur côté préconisé de « mettre à l’épreuve du feu » les systèmes informatiques en se faisant volontairement hacker et de prévoir des démarches « pour rentrer dans un cycle d’amélioration continu ». Plutôt que de recruter un cyber expert en interne au coût prohibitif (80 000 euros), ces derniers suggèrent de s’adresser à un prestataire qui proposera un cyber expert mutualisé. L’intérêt de recourir à des systèmes informatiques mutualisés à l’échelle d’une intercommunalité, comme l’a suggéré Etienne Lengereau, apparait également comme une piste judicieuse. Pour Denis Larghero, il convient d’agir à deux niveaux. D’une part, « il faut mutualiser la défense en externalisant les services, ce qui est plus facile ou moins difficile car on ne fonctionne pas avec ses effectifs », a indiqué le maire de Meudon, et, d’autre part, « mutualiser des briques de manière à économiser sur les licences et optimiser les ressources humaines ».