De plus en plus souvent ciblées par les pirates informatiques (hackers), surtout depuis la crise sanitaire, les collectivités doivent prendre en compte la cybersécurité en amont, sans attendre qu’une attaque se produise. Avec, au-delà du coût, des conséquences désastreuses : interruption du service rendu, atteinte à l’image de la collectivité, piratage de données… Trois collectivités sur dix auraient été victimes d’un rançongiciel ou ransomware (demande de rançon) en 2019, selon une étude 2020 du Clusif. Année où plus de 1 200 collectivités ont demandé de l’aide au GIP Cybermalveillance.gouv.fr, qui accompagne les victimes et leur fournit un diagnostic personnalisé. Les collectivités subissent également des piratages de comptes en ligne, du hameçonnage (vol de données personnelles ou d’informations sensibles) ou encore du déni de service. Les tendances observées en 2019 se sont confirmées en 2020*. L’année a été marquée par une recrudescence des attaques par rançongiciels. Le nombre de signalements liés à des rançongiciels a été multiplié par quatre par rapport à l’année 2019. Les victimes de rançongiciels sont principalement des collectivités territoriales, des établissements de santé et des entreprises du secteur de l’industrie.

Cybermalveillance.gouv.fr leur propose des outils pour apprendre à renforcer la sécurité informatique des systèmes d’information (SI) et à inculquer aux agents et aux élus des comportements moins risqués. Son site rapporte aussi des témoignages d’élus très instructifs.

Ainsi, Longueil-Sainte-Marie (Oise, 1 924 habitants) a tout d’abord vérifié le niveau de sécurité de son SI. Accompagnée par l’Association pour le développement et l’innovation numérique des collectivités (Adico), la commune a préparé un dossier d’homologation au RGS (référentiel général de sécurité), ce qui l’a conduite à effectuer une analyse de risques globale du SI pour définir un plan d’action – de la sensibilisation essentiellement. Des faux mails d’hameçonnage devraient être envoyés aux agents et aux élus, dans le but d’accroître leur vigilance. À Vannes (Morbihan, 55 411 habitants), qui a lancé une telle campagne de faux mails sans information préalable, 23 % des agents ont manqué de vigilance et cliqué… Après une formation en ligne sur les pièges des mails malveillants, le taux de clics est passé à 6 % en un an.

La Rochelle (Charente-Maritime, 171 811 habitants) prépare pour les utilisateurs des SI de la ville et de la communauté d’agglomération (élus, agents, personnel non permanent…), une charte comportant les valeurs à protéger : disponibilité et qualité du service public, respect des obligations légales, confidentialité et intégrité des données sensibles… Les nouveaux arrivants devraient bénéficier d’un parcours de sensibilisation d’une demi-journée. Outre des informations très pratiques (Où stocker les données pour qu’elles soient sauvegardées ? Pourquoi éteindre ses équipements le soir ? Comment déclarer un incident ?), ils recevront des conseils sur la gestion des mots de passe, les mails malveillants, les usages pro-perso, la protection de la vie privée… Les agents traitant des données sensibles participent à une formation spécifique d’une journée avec des exercices et une évaluation.

Rochefort Habitat Océan (office qui gère 2 631 logements en Charente-Maritime) met aussi l’accent sur la sensibilisation de son personnel. Les collaborateurs ont été impliqués, en 2018/2019, autour des pratiques essentielles de sécurité à appliquer au quotidien, en vue de créer une charte informatique opposable. Leur travail a conduit à élaborer une affiche, distribuée et expliquée au personnel lors d’un petit déjeuner, et diffusée aux nouveaux arrivants. Chaque trimestre, une newsletter rappelle une bonne pratique ou attire l’attention sur un risque informatique, comme en septembre 2020 : « Les mots de passe, c’est un peu comme les brosses à dents ». Chaque année, une réunion de sensibilisation est organisée avec le soutien du syndicat mixte Soluris ; en 2020, ce sont les agents de proximité et les responsables d’immeubles dotés de téléphones portables qui ont découvert les cybermenaces et les moyens de sécuriser les smartphones. Depuis 2017, un groupe de travail de quatre collaborateurs et du référent sécurité de l’office suit les plans d’actions annuels sur la sécurité informatique et la protection des données. Il rédige les newsletters et s’assure auprès du personnel de l’acceptabilité et de la mise en œuvre des règles de sécurité.

Dans les petites communes, également cibles de cyberattaques, il est indispensable de faire connaître largement la plateforme de prévention et d’assistance Cybermalveillance.gouv.fr, comme l’a fait Tillières-sur-Avre (Eure, 1 098 habitants). Les agents sauront ainsi vers qui se tourner en cas d’attaque.

Marie Gasnier

* L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a publié le 10 juin son rapport d’activité.