Des hackers sont parvenus à pénétrer dans le système informatique de la commune de Brunoy, le 29 octobre, et depuis l'ensemble des réseaux et des serveurs municipaux sont inaccessibles. Face au manque de protection des systèmes municipaux, l'Agence nationale de sécurité des systèmes d'information va créer des « cybercasernes » régionales pour aider les collectivités.
Par Alain Piffaretti
Après l' hôpital sud francilien (Corbeil-Essonnes), victime d'une cyberattaque le 24 août dernier, c'est au tour de la ville de Brunoy (26.000 habitants), située au nord du département de l'Essonne, d'être la cible des hackers. « Samedi 29 octobre, nous avons remarqué un problème de serveurs et avons pensé à un bug informatique classique. Mais lors du redémarrage, nous avons constaté un black-out complet », relate Camille Guérin, directeur de cabinet du maire de la ville. Depuis, l'ensemble des réseaux et des serveurs de la collectivité territoriale sont inaccessibles. Le système a été mis en sécurité afin d'éviter une aggravation des dégâts tandis que la municipalité et l'Agence nationale de sécurité des systèmes d'information (Anssi), tentent d'évaluer les dégâts.
Selon « Le Parisien », les cybercriminels réclament une rançon de cinq millions de dollars à la ville. Brunoy ne confirme pas le chiffre mais Bruno Gallier, le maire l'affirme : « il n'est pas question pour nous de payer la somme astronomique qui nous est demandée ». En attendant, les agents n'ont plus accès à leur mail, et la ville ne peut plus passer de bons de commande, instruire de permis de construire ou délivrer des rendez-vous pour les démarches administratives. Seule la police municipale ne rencontre pas de perturbations, car son système informatique est indépendant. « Nos agents tentent de s'adapter », souligne Camille Guérin.
Les attaques contre les services publics des collectivités territoriales vont se multiplier dans les prochains mois et années.
Les actes les plus urgents, comme les certificats de décès, sont rédigés manuellement. « Bien sûr nos équipements comme les centres de loisirs et les crèches demeurent ouverts », rassure Bruno Gallier. La mairie n'a aucune idée des délais dans lesquels la situation sera rétablie. « C'est comme si quelqu'un avait mis un cadenas sur notre informatique et que nous n'avions pas la clef », résume Camille Guérin.
A l'image de Brunoy, d'autres communes franciliennes ont fait les frais des pirates informatiques depuis le début de l'année. C'est notamment le cas des Mureaux dans les Yvelines ou de Chaville dans les Hauts-de-Seine. Selon Bernard Giry, directeur général adjoint de la région Ile-de-France, cette situation soulève le problème de l'insuffisante protection des systèmes informatiques municipaux. « Il existe clairement une action forte à mener pour améliorer la sécurité », estime-t-il.
Brunoy s'appuie actuellement sur les services préfectoraux et sur l'Anssi. Mais d'ici à quelques mois les communes victimes de cyberattaque seront probablement épaulées dans ces démarches par des « cybercasernes » régionales. L'Agence de sécurité a en effet demandé aux conseils régionaux de mettre en place ces nouvelles structures. Elles posséderont un numéro d'urgence pour les collectivités. « Nous allons prochainement lancer un appel d'offres pour mettre en oeuvre ce service », confie Bernard Giry.
En attendant, il conseille aux collectivités de sauvegarder leurs données en les enregistrant à deux endroits différents (par exemple sur le cloud ou un data center redondant). Même conseils de prudence du côté de l'établissement public Seine-et-Yvelines Numérique, structure commune aux départements des Yvelines et des Hauts-de-Seine dans le secteur des nouvelles technologies.
Cyberattaques : « Le matin, vous vous levez et votre boîte est morte »
Opinion : Cyberattaques, quel rôle doit jouer l'assureur ?
« Les attaques contre les services publics des collectivités territoriales vont se multiplier dans les prochains mois et années », craint notamment Laurent Rochette, directeur de Seine-et-Yvelines Numérique. Cette dernière mène un certain nombre d'actions à destination des collectivités des Yvelines et des Hauts-de-Seine pour les protéger des tentatives de hacking : sensibilisation des agents, formation, évaluation des risques, contrats avec des sociétés spécialisées… Ces dispositifs pourraient ensuite être étendus à d'autres territoires franciliens comme l'Essonne.
Alain Piffaretti
Pratique
Services
Le Groupe
Tous droits réservés – Les Echos 2022