Depuis l’installation de la crise du coronavirus, les collectivités territoriales de tout genre luttent contre une vague croissante de cyberattaques. Une vague qualifiée de «crise dans la crise» par le chef de l’État. L’Informaticien s’est entretenu avec l’un de ceux qui en a été l’une de ses premières victimes. Et de raconter l’après-crise. Article paru dans L'Informaticien n°197 (juin 2021).
Jérôme Poggi, RSSI de Marseille, revient sur la cyberattaque de la Ville en mars 2020 qu’il a été amené à gérer dans un contexte sans précédent. Un dialogue qui lui fait du bien.
« Ça fait partie de ma thérapie » (rires). Quatorze mois après la cyberattaque contre Marseille, d’en parler fait toujours figure de catharsis pour Jérôme Poggi. Le responsable des systèmes de sécurité et d’information de la Ville reconnaît en avoir besoin. Il a dû gérer avec ses équipes une cyberattaque d’ampleur dans un contexte législatif, et bientôt sanitaire, extraordinaire. Le 14 mars 2020, aux alentours de 3 h du matin, une cyberattaque du groupe Mespinoza a paralysé 80% des systèmes informatiques de Marseille, qui possède deux datacentres, 400 sites physiques et 170 directeurs de systèmes informatiques. La Ville se préparait à organiser le 15 mars, le lendemain, les élections municipales et apprenait le 17 mars qu’elle entrait en phase de confinement national… « Psychologiquement, c’était très dur. Tous ceux qui ont bossé pendant la crise ont beaucoup donné », confesse, avec du recul, Jérôme Poggi. La réactivité des équipes est pour lui une des raisons d’une sortie de crise relativement rapide – de l’ordre de trois mois pour retrouver 80% du fonctionnement du service, estime-t-il. Marseille est, à l’instar des mairies d’Angers, La Rochelle, Alfortville, pour ne citer que les cas les plus emblématiques, une des collectivités territoriales ayant subi une cyberattaque au cours de ces dernières années. Officiellement, 59 collectivités locales ont signalé, sur le portail Cybermalveillance.gouv. fr, avoir subi une cyberattaque : une hausse de 50 % par rapport aux 109 cyberattaques de l’année 2019. Le sujet est tellement sérieux que le gouvernement a débloqué 1 milliard de fonds supplémentaires pour renforcer la cybersécurité de cibles sensibles, Emmanuel Macron ajoutant que ces attaques constituaient une « crise dans la crise ». L’après-crise, elle, est souvent semée d’embûches pour des collectivités territoriales, coincées entre l’étau du manque de moyens financiers et la sidération de l’attaque.
Damien Alexandre, membre du Clusif.
Vigilance accrue
Quatorze mois plus tard, Marseille est toujours en après-crise. La Ville tient des réunions tous les mois pour suivre l’évolution des recommandations de son prestataire sur la sortie de crise et a mis en place toute une série de mesures pour sortir grandie de l’expérience. « Malgré tout, cela nous a amené du positif », relativise Jérôme Poggi. Le système informatique a mis en place un Centre opérationnel de sécurité (COS), censé prévenir d’une nouvelle attaque éventuelle en concentrant et analysant les logs. Depuis le 1er janvier, Marseille a identifié 390 virus et 260 éléments malveillants non-connus parmi les 22 millions de mails qu’elle a jetés, des analyses directement motivées par la cyberattaque.
Le système informatique applique désormais restriction et segmentation de réseau à plus de fonctionnalités après que ses bases Oracle où étaient sauvegardées les données financières, RH et relatives à l’état-civil n’ont pas été compromises grâce à la généralisation de ces procédés. « On a fait changer la manière de travailler des exploitants. Les procédures sont plus longues, certes, mais on est plus sécurisés », constate Jérôme Poggi. Face à la multiplication des cyberattaques, l’Anssi sensibilise au risque cyber via la publication d’infographies ou de guides. Elle préconise notamment « la mise à jour de l’appréciation des risques », « la réalisation d’audits », ou encore « la mise à jour des mesures de sécurité » parmi ses recommandations d’après-crise de son guide de « sécurité numérique des collectivités territoriales » de mars 2020. Des moyens financiers « non négligeables » ont été alloués à la ville de Marseille à la suite de l’attaque, sans qu’aucun chiffre précis n’ait été communiqué. En janvier dernier, Bayonne a annoncé investir dans son budget cybersécurité pour un surcoût de l’ordre de 50 000 euros, selon France Bleu.
« Préparez-vous ! »
Une tendance de fond, puisque 41% des collectivités ont déclaré une augmentation du budget sécurité de l’information comparés aux 18 % de 2016, selon le rapport MIPS 2020 du Clusif.
Le Syntec Numérique et Tech In France ont indiqué lister la cybersécurité parmi l’un de leurs quatre chantiers prioritaires. Les deux organismes ont annoncé vouloir réserver de 5 à 10% de leurs ressources à la cybersécurité pour les collectivités territoriales. « Une attaque peut permettre de justifier certains investissements », avance Damien Alexandre, membre du Clusif pour qui il est important que les collectivités investissent dans des logiciels de sécurité plutôt que contre un rançongiciel. L’Élysée a rappelé qu’il ne fallait pas céder au chantage en payant la rançon. De toute façon, les collectivités n’en ont pas les moyens. Le Clusif constate que le risque cyber est mieux compris au sein des collectivités territoriales, mais il n’est « pas du tout satisfaisant ! », selon Damien Alexandre. Et si on demande à Jérôme Poggi quels conseils délivrer à l’attention des autres collectivités, il en énonce deux : le cas des sauvegardes, avant tout; l’autre est moins positif, à la vue des statistiques : « Préparez-vous à une crise ! »