Accueil Tour d'horizonEntretiens Cybersécurité « Les collectivités sont beaucoup moins protégées que les entreprises »

Cybersécurité « Les collectivités sont beaucoup moins protégées que les entreprises »

par Sébastien Fournier
Marie de Fréminville
Temps de lecture : 6 minutes

Interview de Marie de Fréminville, présidente et fondatrice de Starboard Advisory

Avec la crise sanitaire et l’essor imprévu du télétravail, de nouvelles failles se sont ouvertes face aux cyberattaques. De nombreuses collectivités, peu préparées, ont subi des demandes de rançon. Un sujet encore tabou alors que les collectivités détiennent des données sensibles et pilotent de nombreux services, selon la consultante Marie de Fréminville. Pour la dirigeante de Starboard Advisory, la sensibilisation et la formation restent les piliers essentiels de la cybersécurité.

Propos recueillis par Magali Tran

La question de la cybersécurité des collectivités émerge peu à peu mais semble constituer encore un sujet tabou. Confirmez-vous cette impression ?

Oui, quand on fait l’objet d’une attaque, on n’aime pas que cela se sache. Ça sonne comme un aveu de faiblesse. Mais aujourd’hui, et ce, depuis un an ou un an et demi, il y a tellement de cyberattaques que cela se sait de plus en plus. C’est la preuve que les systèmes d’information ne sont pas bien protégés et que les gens ne sont pas bien formés.

Vous indiquez une accélération récente des cyberattaques. Y a-t-il un lien direct avec la crise sanitaire, avec la montée en puissance du télétravail ?

La crise a augmenté les facteurs de risque, c’est certain, pour plusieurs raisons. Les entreprises comme les collectivités n’étaient pas préparées au télétravail. Souvent, les salariés ont dû utiliser leur ordinateur personnel ; ou lorsque l’employeur a acheté des ordinateurs portables, ça s’est fait en catastrophe. De plus, les équipes de sécurité ont été surchargées. Tout cela a fait que les outils de communication à distance et les gestions des accès n’ont pas été configurés correctement, avec les règles de sécurité habituelles, et que les mises à jour nécessaires des logiciels n’ont pas toujours été faites. À cela s’est ajouté le climat d’anxiété et parfois de pression hiérarchique pour travailler dans des conditions difficiles pour certains, faisant baisser la garde. Ou encore l’utilisation quelquefois des ordinateurs professionnels à des fins personnelles, avec la possibilité de visiter des sites malveillants. Pour ces multiples raisons, des attaquants ont pu s’introduire dans les systèmes d’information.

Les collectivités sont une cible intéressante car beaucoup de choses dépendent d’elles, comme les feux de signalisation, l’éclairage, les services administratifs, parfois des ports ou des aéroports, ou encore des services financiers pour la paye de leurs salariés.

Les institutions et en particulier les collectivités sont-elles une cible privilégiée pour les cyberattaques ?

Les collectivités sont beaucoup moins protégées que les entreprises. Dans les grandes entreprises, il y a une culture du risque informatique et des usages qui y sont liés. Cela correspond à ce que j’appelle une hygiène informatique. C’est moins vrai dans les PME. Mais du côté des collectivités, la fragilité est beaucoup plus grande. Or les collectivités sont une cible intéressante car beaucoup de choses dépendent d’elles, comme les feux de signalisation, l’éclairage, les services administratifs, parfois des ports ou des aéroports, ou encore des services financiers pour la paye de leurs salariés. Elles détiennent aussi beau- coup de données personnelles, qu’on n’a pas envie de retrouver sur la place publique. Si le fonctionnement d’une collectivité est bloqué, ces nombreux services ne peuvent plus fonctionner, c’est très perturbant pour tous les citoyens. Si une entreprise est arrêtée en revanche, c’est certes très embêtant pour elle mais cela ne concerne « que » ses salariés et ses clients. En s’attaquant à une collectivité, on touche beaucoup plus de monde, beaucoup plus vite. C’est une bonne cible pour des demandes de rançon.

La demande de rançon est-elle l’attaque la plus fréquente ?

C’est en effet la plus fréquente en ce moment auprès des collectivités. Le cyberattaquant peut poursuivre plusieurs buts : l’espionnage, mais les collectivités ne détiennent pas de secrets économiques ; le sabotage, mais cela n’a pas de raison d’arriver. Et enfin gagner de l’argent. Et c’est assez simple d’attaquer une collectivité, tout en restant derrière un ordinateur. Les attaques sont programmées grâce à des robots qui tournent et qui finissent par marcher lorsqu’il y a une baisse de la vigilance des utilisateurs ou des équipes informatiques et opérationnelles. Beaucoup de collectivités ont été ainsi attaquées mais c’est très difficile de savoir lesquelles et quelles sont les sommes en jeu. Ce qui est certain, c’est que cela coûte des millions d’euros aux contribuables.

Comment faire si, demain, tel service ne fonctionne plus ? Cela représente-t-il un danger ? Ne plus pouvoir emprunter de livres à la bibliothèque, c’est une chose. Mais c’en est une autre de pouvoir donner accès à la cantine ou délivrer des actes de naissance. Et encore une autre si l’on ne peut plus distribuer d’eau potable.

Les collectivités sont-elles armées pour faire face aux cyberattaques ? Notamment la commune « lambda » qui n’aurait pas les moyens d’une grande ville ?

Il y a un gouffre en effet entre les différentes collectivités, autant qu’entre les grandes entreprises et les PME. Les plus grandes structures ont des moyens beaucoup plus importants et peuvent mettre en place davantage d’outils de protection, de formation et d’information. Mais les collectivités sont de plus en plus conscientes de l’importance de la cybersécurité, elles sont davantage sensibilisées. La question qu’elles doivent se poser, c’est que faire si elles ne peuvent plus fonctionner ? Comment faire si, demain, tel service ne fonctionne plus ? Cela représente-t-il un danger ? Ne plus pouvoir emprunter de livres à la bibliothèque, c’est une chose. Mais c’en est une autre de pouvoir donner accès à la cantine ou délivrer des actes de naissance. Et encore une autre si l’on ne peut plus distribuer d’eau potable. En Floride, on a un exemple d’une attaque qui a déréglé des capteurs de qualité de l’eau… Chaque collectivité est unique et doit s’interroger sur sa propre situation.

Alors, quelles mesures prendre ?

La faille est humaine dans 95 % des cas. Il faut donc former les gens, tous les employés, les utilisateurs comme les équipes informatiques. Avoir une sauvegarde non connectée à internet par exemple permet de faire repartir le système sans avoir à payer la rançon. Il faut du bon sens. Tout cela doit être réfléchi et nécessite des investissements en outils mais surtout en compétences et en formations, avec des procédures pour sécuriser les systèmes.

C’est comme une maison avec sa clé : ne pas donner la clé à n’importe qui (ou penser à la récupérer auprès de l’intérimaire qui aura terminé sa mission) et bien sûr verrouiller les accès. La question n’est pas tant « si » cela va arriver que « quand » cela va arriver et savoir, à ce moment-là, ce que l’on peut faire pour limiter les impacts. Pour poursuivre avec l’exemple de la maison, lorsqu’il y aura un intrus, si l’argent et les bijoux sont bien en vue, ils seront évidemment pris. S’ils sont dans un coffre-fort à l’intérieur de la maison ou, mieux, dans un coffre à l’extérieur, les dégâts ne seront pas les mêmes.

Les collectivités peuvent-elles assumer le coût de leur cybersécurité ?

Oui, ce n’est pas compliqué. L’hygiène informatique est importante et ne représente qu’un petit coût pour former les personnes. Réaliser une sauvegarde chaque jour sur un disque dur ou sur un serveur n’est pas compliqué, notamment pour une petite collectivité qui ne gère pas énormément de données. Avec les documents papier, il fallait déjà prendre des précautions pour que les fiches d’état civil soient à l’abri des incendies et des inondations. C’est pareil : il faut du bon sens. C’est plus coûteux finalement pour les grosses collectivités où les matériels, les serveurs et les données sont multipliés. Chaque collectivité étant différente, chacune doit faire une cartographie de ses propres faiblesses, envisager comment elle peut être attaquée et voir comment éviter les risques, qui ne sont pas seulement de l’ordre de l’attaque d’ailleurs. La mise à jour des logiciels, par exemple, est très importante.

À l’échelle internationale, comment se situent les collectivités françaises en matière de sensibilisation au cyberrisque ?

C’est difficile à dire car, on le disait au départ, il y a une grande omerta sur le sujet. Même nous, spécialistes, ne savons pas tout ce qui se passe. Donc c’est très difficile de comparer. Ce qu’on peut dire, c’est qu’en France, on a l’ANSSI (Agence nationale de la sécurité des systèmes d’information) qui existe depuis longtemps et est assez développée. L’Agence protège les opérateurs des secteurs d’importance vitale comme l’énergie, les transports, la banque. Ces grandes entreprises sont très surveillées. L’ANSSI intervient quand il y a des attaques, y compris auprès des collectivités. Je ne crois pas que les collectivités françaises soient plus fragiles que d’autres, même si la culture du risque numérique prend du temps. La transition numérique est rapide, il faut être d’autant plus vigilants sur la question de la sécurité, qui doit être pensée dès le départ.

Faut-il délivrer un message alarmiste ?

Oui, je le pense. Sinon, on ne se rend compte du problème que lorsqu’il arrive. Or, il vaudrait mieux qu’il n’arrive pas.

Lire sur le même sujet :

5G : quel rôle pour les collectivités ?

Articles Liés