Maire-info
Le quotidien d’information des élus locaux

Édition du lundi 15 février 2021
Numérique

Cybersécurité : Cybermalveillance.gouv.fr alerte sur le niveau de menace des collectivités

Cybermalveillance.gouv.fr, a publié, samedi, le deuxième volet de son programme de sensibilisation aux risques numériques dans les collectivités territoriales. Dans une enquête publiée l'an passé, 30% des collectivités sondées ont déclaré avoir été impactées en 2019 par une cyberattaque de type rançongiciel.

Les collectivités sont prévenues, la menace est réelle : « Il n’est désormais plus question de déterminer si l’une d’entre elles sera la cible d’un cybercriminel, mais quand ». À l’image de l’hôpital de Dax (Landes), il y a tout juste une semaine, 30 % des collectivités sondées ont déclaré avoir été impactées en 2019 par une cyberattaque de type rançongiciel (ransomware en anglais), selon la dernière étude du Club de la sécurité de l’information français (Clusif) publiée en 2020. « Au moins 4% des communes françaises ont été piratées en 2020 », précisait, dans une interview au Journal du Net le 9 février, Jérôme Notin, directeur général de Cybermalveillance.gouv.fr
C’est dans ce contexte que le groupement d’intérêt public (Gip) a publié, samedi, le deuxième volet de son programme de sensibilisation aux risques numériques dans les collectivités territoriales. Son objectif : « Faire prendre conscience aux élus, agents territoriaux et acteurs locaux des risques liés au numérique, et leur permettre d’adopter les bons réflexes pour renforcer leur sécurité dans ce domaine ». L'enjeu est pris au sérieux : selon une note révélée par Acteurs publics en janvier, l’Agence nationale de la sécurité des systèmes d’information (Anssi) « entend flécher une partie des 136 millions d’euros dont elle a la charge vers la montée en puissance des collectivités face aux attaques informatiques ».

L’hameçonnage représente près d’un quart des demandes d’assistance

En réponse à Sylvie Marsilly, maire de Fouras-Les-Bains (Charente-Maritime), Cybermalveillance.gouv.fr affirme « qu’en 2019, la première menace observée par le dispositif national chez les collectivités et entreprises est l’hameçonnage qui représente près d’un quart des demandes d’assistance, suivi du piratage de comptes en ligne et des rançongiciels. »  Pour rappel, selon la définition de Cybermalveillance.gouv.fr, l’hameçonnage (phishing en anglais) est une technique frauduleuse destinée à leurrer l’internaute pour l’inciter à communiquer des données personnelles (comptes d’accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Il peut s’agir d’un faux message, SMS ou appel téléphonique de banque, de réseau social, d’opérateur de téléphonie, de fournisseur d’énergie, de site de commerce en ligne, d’administrations, etc (lire à ce sujet Maire info du 31 janvier 2020).
« Au sein des collectivités, les principales cibles des attaques sont les systèmes d’information internes et les sites internet souvent insuffisamment sécurisés ou avec des failles de sécurité non corrigées par défaut d’application des mises à jour », alerte le dispositif national.
Les conséquences peuvent être nombreuses : « Interruption du service rendu aux administrés, conséquences financières, humaines et d’image parfois désastreuses (vol de données personnelles d’employés ou d’administrés, chantage avec demande de rançon pour récupérer des données…). Il est donc de la responsabilité de la collectivité d’assurer la sécurité de ses services et d’apporter de la confiance numérique à ses usagers », répond Cybermalveillance.gouv.fr à une question posée par le maire de Voreppe (Isère), Luc Rémond. 

Comment sécuriser les systèmes d’information ?

Pour limiter au maximum le risque de cyberattaque, Cybermalveillance.gouv.fr recommande encore une fois aux collectivités d’avoir recours à des mots de passe robustes et uniques. « Une gestion de vos mots de passe trop simple peut augmenter les risques de compromission de sécurité de vos accès. Utilisez des mots de passe complexes et différents pour chaque service », explique-t-on du côté du dispositif. Les mises à jour des appareils numériques et des logiciels permettent, de plus, de « corriger les failles de sécurité que les cybercriminels peuvent exploiter ». Il convient toutefois de se méfier des fausses mises à jour sur Internet, est-il rappelé dans le kit très détaillé de sensibilisation aux risques numériques. Outre les conseils connus - utilisation d’un mot de passe différent pour chaque service ou suffisamment long et complexe - il est expliqué dans le kit de quelle façon utiliser le gestionnaire de mot de passe Keepass. Certifié par l’Anssi, ce petit logiciel « permet de stocker en sécurité vos mots de passe pour les utiliser dans vos applications. Il dispose aussi d’une fonction permettant de générer des mots de passe complexes aléatoires ».
Vérifier régulièrement que les points essentiels de sécurité sont bien respectés et sensibiliser et former régulièrement les agents aux risques numériques peuvent, en outre, s’avérer utile. Ultime conseil : une sauvegarde régulière des données permettra, enfin, aux collectivités de les retrouver en cas de perte, vol, piratage ou endommagement.
Cybermalveillance.gouv.fr met également à disposition diverses ressources ciblant spécifiquement les collectivités et leurs problématiques : une campagne de vidéos réalisée conjointement avec la Banque des Territoires (Groupe Caisse des Dépôts) pour mieux comprendre les risques numériques (rançongiciels, feux de circulation, arrosage public...), ainsi que le guide réalisé par l’AMF en partenariat avec l’Anssi, avec des recommandations et bonnes pratiques en sécurité numérique (lire Maire info du 20 novembre 2020).

Ludovic Galtier

*Le rançongiciel est « un logiciel malveillant qui bloque l’accès à l’ordinateur ou à des fichiers en les chiffrant et qui réclame à la victime le paiement d’une rançon pour en obtenir de nouveau l’accès ».

Suivez Maire info sur Twitter : @Maireinfo2