Cybersécurité : un guide pour favoriser la « prise de conscience » des élus
Défiguration de sites Internet, prise de contrôle de comptes de messagerie et de réseaux sociaux, vol de données sensibles, notamment celles à caractère personnel, ou encore rançongiciels... « Les communes et les intercommunalités, quelle que soit leur taille, ne sont pas à l’abri d’une cyberattaque », analyse Guillaume Poupard, directeur général de l’Agence nationale de sécurité des systèmes d'information (Anssi). L’AMF publie, dans ce contexte, avec le soutien et la participation de l'Anssi, un guide à l’attention des collectivités du bloc communal. A partir de 30 recommandations, le document les incite à « s’organiser pour répondre à ces nouveaux enjeux ».
Les rançongiciels causent le plus de dégâts
La menace est grande. En 2019, 92 incidents de sécurité d’origine cyber ont affecté les communes et les intercommunalités, soit près de 25 % des incidents totaux traités par l’Anssi sur cette période. Dans 53 % des cas, il s’agissait d’une défiguration de site web mais la compromission avec attaque de maliciels reste la catégorie d’incidents qui causent les dommages les plus sérieux (14 % des cas en 2019). « Outre les cas de dépôt opportuniste de codes malveillants, notamment à des fins de cryptominage, neuf cas sur douze ont trait à une attaque par rançongiciel, assure l’Anssi. Si, pour l’une de ces attaques seulement, le périmètre de compromission s’est restreint à un seul poste utilisateur, les autres ont affecté fortement le fonctionnement du système d’information infecté allant, parfois, jusqu’à sa nécessaire reconstruction complète ».
Dans un cas, cité en exemple dans le guide, le système d’information de la commune « était fragilisé par une politique de mots de passe faibles et une prolifération de comptes avec des privilèges administrateurs non connus des services de la mairie, ce qui a facilité l’attaque via un des comptes administrateur, a analysé l’Anssi, qui rappelle l’importance de la politique de gestion des mots de passe à l'échelle communale et intercommunale. L’impact opérationnel et le coût associé de ces attaques sont autant d’arguments qui doivent amener les communes et les intercommunalités à se saisir du sujet et renforcer leur sécurité informatique ».
« Se doter d’une gouvernance renforcée »
Pour se prémunir, justement, d’un « sinistre numérique », qui peut aussi bien mettre à mal le site internet de la commune mais aussi le wifi public, les capteurs, l’hébergement des données, il est recommandé aux collectivités de lancer quatre « chantiers » (détaillés dans le guide) en priorité : « la conduite du changement et la sensibilisation des agents » ; « la vision claire des systèmes d’information employés et leur pertinence en terme d’activités et de services rendus » ; « l’analyse des clauses contractuelles des marchés de prestations informatiques intégrant ou pas le risque numérique » ; « l’élaboration d’un plan de crise ».
En parallèle, le guide les invite à « se doter d’une gouvernance renforcée pour mobiliser efficacement les services et impliquer les élus qui doivent opérer des choix stratégiques et budgétaires ».
Prise de conscience
Dans les petites communes par exemple, un adjoint pourrait être affecté à la sécurité numérique. La gestion de ce dossier peut, en outre, parfaitement être mutualisée entre plusieurs communes avec éventuellement la désignation d’un élu référent. « La loi a prévu un dispositif spécifique pour permettre aux EPCI à fiscalité propre et à leurs communes membres de coopérer et gérer de manière mutualisée des fonctions support (ressources humaines, commande publique, informatique…). Ces services communs sont en principe gérés par l’EPCI à fiscalité propre mais peuvent, si le conseil communautaire en délibère ainsi, être confiés à une commune membre (ville centre par exemple) ».
La « prise de conscience » que l’Anssi appelle régulièrement de ses vœux commence à se faire jour. « Quelle que soit la taille des collectivités, sur un échantillon de collectivités sollicitées restreint, on peut observer que celles-ci investissent de manière similaire entre 4 et 7% du budget d’investissement informatique, avec d’importantes variations annuelles pour les communes et les intercommunalités de moins de 10 000 habitants ». C’est un peu moins que les recommandations de l’Anssi (entre 5 % et 10 %). C’est pourquoi l’Agence et l’AMF appellent les collectivités à « insister auprès du préfet pour obtenir des financements dédiés ». D’autant plus que « lorsque survient une attaque informatique, outre l’impact sur l’image de la commune et l’atteinte à la confiance de ses administrés, c’est la responsabilité même de l’élu qui peut être engagée ». En cas d'incident, le dépôt d'une plainte auprès des services de police ou de gendarmerie et une saisine de la plateforme d’assistance aux victimes de cybermalveillance sont fortement recommandés, sans oublier une notification à la Cnil dans les 72 heures si des données personnelles ont été violées.
Ludovic Galtier
Suivez Maire info sur Twitter : @Maireinfo2
Lancement de l'opération spéciale de l'AMF jusqu'au 8 décembre : demandez le programme !
Vote par correspondance : le débat s'engage
Aider les collectivités à organiser le retour d'un agent après un arrêt long
