A l’occasion du coTer numérique qui s'est déroulé les 4 et 5 juin 2024 à la Rochelle, Antoine Trillard, Président de l’association et DSI de la ville de Chelles, a répondu à nos questions sur les enjeux de cybersécurité qui touchent les collectivités territoriales. Sont-elles des cibles privilégiées pour les cyber attaquants et pourquoi ? Quelles conséquences pour les villes, départements ou régions ? Comment protéger son organisation quand on est responsable de la cybersécurité d'une collectivité ?
Quelles sont les conséquences des cyberattaques pour les collectivités, et notamment sur les services publics ?
Antoine Trillard : Entre janvier 2022 et juillet 2023, l’ANSSI a traité 187 incidents cyber affectant les collectivités territoriales, soit à peu près dix incidents par mois. Cela représente environ 17 % de l'ensemble des incidents traités par l'ANSSI sur la période. Et les conséquences sont souvent très lourdes.
Des retours d'expérience que j'ai pu entendre, des collectivités ont perdu leurs données, voire leurs sauvegardes. Il a également fallu reparamétrer des centaines de logiciels, et parfois même reconstruire toute l’infrastructure.
Dans certaines collectivités, les services publics sont bloqués pendant plusieurs mois, le temps de reconstruire le système d’information. Il faut fonctionner en mode dégradé, alors que nous avions justement accéléré la dématérialisation de nos services et procédures. Nous ne sommes pas toujours préparés à fonctionner sans nos services numériques.
Pourquoi les collectivités sont-elles particulièrement touchées par les cyberattaques ?
AT : Déjà, il est clair que les menaces sont plus sophistiquées qu’il y a 3 ou 4 ans, et donc il faut être suffisamment armés pour y faire face. Nous sommes aussi régulièrement visés par des robots qui scannent nos vulnérabilités et envoient des mails de phishing. Ces mails sont de plus en plus nombreux et élaborés grâce à l’utilisation de l’intelligence artificielle notamment. La surface d'attaque sur internet est aussi de plus en plus étendue, et donc les vulnérabilités plus nombreuses.
Il y a peut-être aussi un effet de médiatisation : les collectivités l’annoncent publiquement lorsqu’elles sont les cibles de cyberattaques. Le point positif est que cela permet de sensibiliser nos élus par rapport à cette menace.
Votre ville, Chelles, a subi une cyberattaque en 2019. Qu’avez-vous mis en place par la suite pour renforcer votre cybersécurité ?
AT : La DSI a travaillé sur plusieurs axes.
Tout d'abord, sur le durcissement des politiques de sécurité. Avant l’attaque, nous étions moins regardants sur les mises à jour ou les accès aux postes de travail par exemple. Aujourd’hui on ne laisse plus passer les mauvaises pratiques.
Nous avons mis en place l’authentification multifacteurs (MFA), un durcissement des politiques de mises à jour, des mots de passe, et des comptes utilisateurs. Personne n’a le droit de se connecter à son PC avec un compte admin par exemple. Que ce soit l'ingénieur sécurité ou moi-même, nous utilisons un compteur utilisateur classique.
Nous avons également placé nos efforts dans le durcissement de l’Active Directory, et nous avons acquis de nouveaux outils qui nous permettent de nous sentir un peu plus sereins qu'en 2019.
Entre la cybersécurité de la ville de Chelles de 2019, et celle de 2024, c'est le jour et la nuit.
Où faut-il placer ses priorités lorsqu’on est responsable de la cybersécurité d’une collectivité ?
AT : Tout d’abord au niveau du durcissement des politiques de sécurité, comme évoqué précédemment.
Et au niveau des outils, disposer d’un outil de patch management, de sécurisation de la messagerie, et d’un EDR me paraît indispensable aujourd'hui. Le firewall et l’antivirus ne sont plus suffisants. Il faut maintenant se protéger avec un EDR, qui permet d’analyser des comportements suspects et de détecter des menaces inconnues. Je pense à l’exemple de la ville de Caen qui a évité une cyberattaque grâce aux alertes remontées par l’EDR.
Observez-vous une évolution dans la prise en compte du risque cyber par les collectivités ?
AT : Ce que je peux constater dans le cadre de notre association, c'est qu'il y a une vraie prise de conscience du risque cyber dans les collectivités. Une grande partie d’entre elles ont su élever leur niveau de sécurité. Le plan de France Relance mené avec l’ANSSI en 2021 nous a notamment beaucoup aidé à améliorer nos processus. Aujourd’hui il y a des sujets qu’on aborde entre nous dont on ne parlait pas il y a quelques années : le durcissement de l’Active Directory, les plans de gestion de crise, etc. Ce sont des signaux qui montrent que la maturité cyber des collectivités a évolué.
Au niveau de la gestion de crise justement, les collectivités anticipent-elles suffisamment ?
AT : Les collectivités réalisent un travail important, que ce soit pour améliorer leur cybersécurité, mais en effet aussi pour gérer la crise. Nous avons organisé le 8 novembre 2023 une journée de travail sur le sujet, et nous avons eu plusieurs retours de la part de collectivités. La ville de Lyon par exemple a réalisé un test de crise, mais aussi Marseille, ou Chartres. L'ANSSI est intervenue pour nous expliquer comment gérer la crise. Les différentes situations de crise sont mieux anticipées : en cas de coupure du réseau, que se passe-t-il ? Comment les métiers vont-ils pouvoir continuer à travailler ? Quelles sont les données des métiers qui sont indispensables et pour lesquelles on doit prévoir un plan de secours ? Car en cas de coupure du système d’information, il faut prévoir une sauvegarde qui permette de continuer à travailler et assurer le service public.
La réglementation NIS 2 entrera en vigueur en France en octobre 2024. Est-ce une bonne nouvelle pour les collectivités concernées par la directive ? Cela va-t-il être compliqué de répondre à une réglementation aussi ambitieuse ?
AT : Oui c’est une bonne nouvelle, car je pense qu’il est essentiel que les collectivités d'une certaine taille, qui nécessitent d’avoir une sécurité importante, prennent en charge ce risque cyber.
Concernant la ville de Chelles, le fait d'avoir participé au plan France Relance et donc à l'audit de sécurité proposé à l’époque nous a déjà permis de mettre en place des mesures qui correspondent en partie à ce qui va être exigé avec NIS2. Après, nous attendons encore de voir concrètement quelles vont être les mesures, et sur quel périmètre d’application.
Ce qui est sûr, c’est que toute la partie documentation et procédures va représenter un travail de grande ampleur, que l’on soit considérée comme entité essentielle ou importante. C’est un travail long et important mais… nécessaire !
Cette année, la France, et notamment l’Ile de France, va être sous le feu des projecteurs avec la tenue des Jeux Olympiques. Cet évènement expose-t-il les collectivités à plus de risques ?
AT : Selon l’ANSSI, oui, c’est évident que pendant les JO les risques vont être multipliés. Je pense que les tentatives d’attaques sur les collectivités, notamment par des robots, seront multipliées par 10, voire même 50… Il faudra donc être particulièrement vigilants.
En tout cas, c’est une problématique dont on entend beaucoup parler depuis une dizaine de mois. L'ANSSI travaille énormément dessus et accompagne les collectivités mais aussi les entreprises pour être prêts le jour J. En France nous disposons d’un bon niveau de cybersécurité global, nous serons prêts pour recevoir ces jeux dans de bonnes conditions !
Propos extraits de l’épisode du podcast Let’s talk about Sec : « Quelle stratégie de cybersécurité pour les collectivités ? »