Des gendarmes sensibilisent les élus aux risques d’attaques informatiques qui peuvent aussi bien viser les collectivités territoriales, très riches en données, que les communes rurales. Exemple à Monterblanc, dans le Morbihan.
"Comment réagir quand on est cyberattaqué ?". Dans la salle de réunion de cette commune de 3 300 habitants, le maire Alban Moquet, au côté de trois élus et employés, reconnaît que tous les agents "ne sont pas conscients de ce que représente la cybersécurité. On est léger là-dessus, on sait qu'il faut s'en inquiéter".
L'adjudant-chef Manuel Crapsi et le major Grégory Golynski, qui font partie de la cellule baptisée PréSAnSCE 56, les rassurent. "On n'est pas dans la critique ou les reproches : on est là pour vous donner quelques clefs et permettre une prise de conscience".
Evaluer le niveau de sécurité informatique
Lancée en novembre, cette cellule a déjà poussé les portes d'une trentaine de mairies. Si les grandes villes sont au fait du risque cyber et ont généralement un responsable de la sécurité des systèmes d'information (RSSI), c'est rarement le cas dans des communes moins peuplées, parfois ouvertes quelques jours par semaine.
Ainsi pendant trois heures, sur un logiciel dédié, les deux militaires font défiler une centaine de questions qui peuvent parfois être déroutantes dans ce bourg tranquille. "Est-ce que vous avez un plan de continuité d'activité en cas d'attaque cyber ?", "Connaissez-vous l'ensemble des lieux d'hébergement des données ?", "en fonction du niveau de criticité des échanges, avez-vous recours au chiffrement des pièces jointes dans vos messages ?".
Tous les aspects du risque cyber sont passés au crible, comme les mots de passe. Un gendarme vérifie la robustesse de celui du maire. Avec ses cinq lettres assez facilement devinables, "il faut deux microsecondes pour le craquer", dévoile le major Golynski après un test, laissant songeur l'édile.
Une augmentation des cyberattaques
Ces derniers mois, des attaques ont visé des métropoles comme Angers, des hôpitaux ou des grandes entreprises. L'an dernier, par exemple, des informations médicales de plus de 300 000 bretons avaient fuité sur internet. Elles étaient détenues par des laboratoires bretons.
Mais les cyberattaques concernent aussi des petites mairies, comme la commune voisine d'Elven en juillet dernier, avec une demande de rançon.
Les mairies détiennent beaucoup de données personnelles, le cadastre, actes de naissance ou de mariage, des renseignements sur chaque administré, adresses internet, postales, téléphone…
Colonel Pascal Estève
"Aujourd'hui, on sait que le recel de données fonctionne bien en termes de cyberdélinquance et qu'il y a des velléités de captation très fortes de la part de cyberdélinquants", prévient le colonel Pascal Estève, commandant du groupement de gendarmerie du département.
Dans son dernier rapport datant de mars, l'Agence nationale de la sécurité des systèmes d'information (Anssi) pointe ainsi une "hausse continue du niveau de menace". "L'Anssi a eu connaissance de 1 082 intrusions avérées dans des systèmes d'information en 2021, pour 786 en 2020 (…). Ces acteurs ont su saisir une multitude d'opportunités offertes par la généralisation d'usages numériques souvent mal maitrisés", relève le rapport.
Protéger les données des administrés
Le major Golynski rappelle à l'équipe municipale l'importance de la confiance numérique nécessaire dans la relation élus/administrés. "On vous confie beaucoup de données personnelles, vous ne pouvez pas vous permettre que ces données fuient".
Au bout de trois heures, le logiciel analyse les réponses et montre que le taux de maturité, sorte de photographie de la sécurité informatique, atteint 32%. "On avait peur d'être très loin du compte, on n'est pas si mal", réagit le maire, décidé à prendre le sujet à bras le corps.
Outre le diagnostic, les gendarmes, qui ont suivi une formation spéciale à l'université de Bretagne sud, dans une région en pointe dans le domaine "cyber", fourniront également un plan d'action détaillé pour améliorer le taux. "Il va y avoir un véritable suivi", explique l'adjudant-chef Crapsi.
En attendant, le maire promet en souriant de changer au plus tôt son mot de passe.
