La cybersécurité concerne toutes les communes

Comment protéger votre commune des cyberattaques

La transformation numérique en France s’accélère de toutes parts notamment dans les petites communes qui n’étaient pas forcément équipées jusque-là. Les façons de travailler évoluent et le télétravail prend de plus en plus d’importance en ces temps de crise sanitaire. Cette période ouvre de nouvelles opportunités aux communes modestes qui s’informatisent : elles ont la possibilité de proposer à leurs administrés des services en ligne.

En même temps, cette transformation conduit à prendre en compte les risques liés à une présence sur Internet et aux nouvelles manières de communiquer par email. Autant les communes importantes disposent d’une équipe informatique dédiée gérant ces questions, autant les villes plus petites n’ont pas forcément les moyens d’embaucher des personnes assurant ce service.

Comment les mairies modestes peuvent-elles gérer leur sécurité informatique en l’absence de Responsable de la Sécurité des Systèmes d’Information ?

Quels sont les risques liés aux cyberattaques ?

Qu’elles soient d’origine externe via le site Internet, un téléphone mobile… ou bien issues de l’interne par le biais de clés USB d’élus, de mots de passe légers d’agents… les cyberattaques demeurent des risques à ne pas négliger.

Trois grandes catégories d’attaques se produisent à l’encontre des collectivités : la défiguration du site internet, les rançongiciels ou ransomwares et la compromission des comptes de messagerie.

En premier lieu, il peut s’agir d’un renvoi du site vitrine de la commune vers d’autres contenus erronés ou bien jetant un discrédit sur la collectivité tel un site pornographique. Quant aux rançongiciels, véhiculés généralement par email, ils ont pour but de bloquer un ou plusieurs postes utilisateurs en verrouillant toutes les données de ceux-ci jusqu’au paiement d’une rançon. Ce type d’attaques peut coûter cher à la commune. La troisième catégorie à noter est la compromission des comptes de messagerie qui se concrétise souvent par le hameçonnage ou phishing dont le but est de dérober des identifiants et mots de passes à ses victimes. Les pirates ne manquent pas d’imagination et d’autres attaques sont connues comme par exemple le déni de service consistant à saturer un site en le rendant indisponible du fait d’un grand nombre de requêtes lancées simultanément.

Les conséquences des cyberattaques peuvent être tout d’abord l’impossibilité pour une collectivité à remplir ses missions de service public vis-à-vis de ses administrés (due à un sabotage de leurs équipements informatiques par exemple). Les pirates pourraient également accéder à des données confidentielles et les divulguer (telles des informations sur l’état civil d’administrés). D’autre part, ces manœuvres malveillantes occasionnent aussi des pertes financières pour les communes en plus de dégrader leur image à l’égard du public.

Quelles que soient les attaques informatiques, les collectivités sont tenues de se saisir de ces questions de cybersécurité afin de s’organiser en amont et être en mesure de gérer au mieux une crise.

Comment les communes doivent-elles s’organiser ?

Les collectivités sont invitées à lancer 4 chantiers pour se prémunir des cyberattaques.

Le 1er chantier sera la sensibilisation des agents, et ce, de façon régulière et continue, car il faut bien garder à l’esprit que l’humain est au cœur de ces sujets de sécurité informatique. Il est essentiel que les agents adhèrent au changement de comportement que nécessite la protection des données des usagers et qu’ils mettent en œuvre une véritable politique de sécurité numérique. Des guides de bonnes pratiques sont particulièrement utiles dans la mesure où ils restent concis, percutants et ludiques. À ce propos, www.cybermalveillance.gouv.fr met à la disposition des utilisateurs des fiches pratiques sur les questions de sécurité liées aux téléphones mobiles, mots de passe, hameçonnage…

Le 2e chantier à lancer concernera le fait de réaliser un inventaire des systèmes d’information de la collectivité de manière à vérifier que ses missions sont remplies dans le respect des règles de sécurité numérique. Il s’agit d’identifier clairement les outils informatiques matériels, les logiciels, les réseaux de connexion. Devront être répertoriés tous les acteurs qui sont présents, de manière directe ou non, dans la chaîne des processus informatiques de la ville : administrés, agents, élus, prestataires, fournisseurs, sous-traitants… Cf le guide de l’ANSSI : Cartographie du système d’information, Guide d’élaboration en 5 étapes.

Le 3e chantier touche aux clauses contractuelles des marchés de prestation informatique afin d’identifier les risques en matière de sécurité informatique tels que la réversibilité, la sauvegarde ou la restauration des données. Attention, les collectivités doivent savoir que la délégation des compétences dans ce domaine de la sécurité informatique n’implique pas un transfert de responsabilité. Sont responsables tant le délégant que le délégataire.

Enfin, le 4e chantier à mettre en œuvre sera l’élaboration d’un plan et/ou procédure devant être suivis en cas de crise liée à une cyberattaque. Il est important d’anticiper la gestion d’une attaque informatique afin d’en limiter sa portée et de permettre une continuité ou reprise d’activité pour la commune, et ce, au plus vite. En cas de sabotage numérique, la gestion de ce dernier requiert, en premier lieu, la résolution technique, laquelle peut durer de quelques heures à plusieurs semaines. Pour vous aider à résoudre ces incidents, les prestataires pouvant intervenir sont recensés sur www.cybermalveillance.gouv.fr. En deuxième lieu, une continuité des services publics doit pouvoir être assurée par la commune victime. Pour cela, détenir des sauvegardes de ses données pourra s’avérer crucial, notamment en ce qui concerne une attaque par rançongiciel. En dernier lieu, la communication sur les événements qui se sont produits est essentielle de manière à accompagner au mieux toutes les personnes concernées et le public visé.

Comment les communes doivent-elles se préparer techniquement ?

Avant tout achat ou installation d’outils supplémentaires de sécurité informatique, faire réaliser un audit s’avère être un préalable judicieux. Il pourra mettre en évidence toutes les vulnérabilités présentes sur votre système d’information dans le but d’y apporter des améliorations sans tarder. Voici concrètement où se situent les principales vulnérabilités et les points à surveiller :

Les sites Internet : l’utilisation de mots de passe robustes est importante et les logiciels et systèmes d’exploitation associés aux sites doivent être mis à jour régulièrement. L’usage d’un WAF peut assez facilement régler plusieurs problèmes.

Le Wifi : les mots de passe d’accès ont besoin d’être suffisamment forts, utilisez du chiffrement WPA2 minimum. Il est essentiel de cloisonner les réseaux Wifi entre les utilisateurs internes et externes.

La messagerie électronique : sécuriser les boîtes aux lettres des utilisateurs, et dans la mesure du possible, mettre en place le chiffrement des échanges email. La solution de protection des emails Altospam permet de répondre à ces deux points (et d’autres) pour renforcer la sécurité des conversations par voie électronique. Utiliser les versions sécurisées TLS des protocoles POP3 et IMAP4.

Les serveurs et postes utilisateurs : il faut assurer sauvegarde et mise à jour des applications sur tous les postes et tous les serveurs.

Les équipements mobiles : ils doivent aussi intégrer des protections antivirales en veillant aux mises à jour.

Le Cloud : travailler avec des prestataires français respectant le RGPD et la sécurité numérique est décisif.

L’infrastructure informatique : la commune doit se doter d’un firewall (premier verrou de sécurité numérique), être vigilante quant aux portes d’entrée représentées par des copieurs, fax, scanners et caméras de surveillance.

Si malgré toutes les précautions que vous aurez pu prendre vous êtes malheureusement la cible d’une cyberattaque, tournez-vous de suite vers les interlocuteurs compétents sur ces questions, à savoir la police et la gendarmerie, la CNIL, l’ANSSI, le site www.cybermalveillance.gouv.fr . Retrouvez également les premières actions à réaliser rapidement en cas d’attaque par rançongiciel : https://www.altospam.com/actualite/2020/11/que-faire-en-cas-dattaque-par-rancongiciel/

De plus, vous avez à votre disposition, sur le site de l’AMF, le Guide complet sur la Cybersécurité : toutes les communes et intercommunalités sont concernées, à partir duquel nous avons préparé cette synthèse.