« Toutes les collectivités sont les cibles potentielles d’une cyberattaque »

« Aucune collectivité ne peut affirmer qu’elle est à l’abri d’une attaque, il est important de s’y préparer» prévient Pierre Gundelwein, Directeur du Numérique de la région Grand Est au moment où la collectivité, en février 2020, était victime d’une cyberattaque. L’objectif des cybercriminels? Obtenir une rançon en échange des données piratées. Aujourd’hui, la collectivité a renforcé la protection de ses systèmes d’information et sensibilise ses agents aux règles élémentaires de sécurité.

De quelle manière s’est manifesté la cyberattaque dont la région Grand Est a été victime en février 2020 ?

C’était exactement le vendredi 14 février 2020. Le responsable de la sécurité des systèmes d’information (RSSI) et moi-même avons constaté que tous nos fichiers étaient chiffrés, donc inaccessibles. Un message nous indiquait un mail à contacter pour obtenir la clé de déchiffrement. Très vite, le diagnostic était posé : nous étions victime d’un rançongiciel. Bien évidemment, nous n’avons pas cherché à négocier, il était hors de question de payer. Ce sont des consignes nationales.

Les services de la région étaient-ils préparés à affronter une telle situation ?

Personne n’est jamais vraiment préparé pour affronter un tel évènement mais nous n’étions pas pour autant démunis. Nous disposions d’une équipe en interne, composée d’agents spécialisés dans les infrastructures, le système et les réseaux, que nous avons rapidement mobilisée.. Immédiatement, nous avons informé les élus et la direction générale puis réuni la cellule de crise. Nous avons également contacté notre prestataire, la société Advens qui nous ont accompagné dans la résolution de cette crise ; nous avons également contacté l’ Agence nationale de la sécurité des systèmes d’information (ANSSI).. L’enjeu est avant tout technique puisqu’il faut s’assurer que les sauvegardes n’ont pas été atteintes et restaurer le système. Notre premier réflexe : couper du réseau les serveurs afin d’éviter toute propagation du virus. La communication, interne comme externe, constitue le deuxième enjeu majeur. Il fallait informer rapidement le cabinet du président de la Région afin qu’il puisse diffuser l’information à l’ensemble des élus, à la presse et bien sûr aussi en interne auprès des agents, des directeurs et des chefs de service. Enfin, l’enjeu est humain. Nous n’avions à ce stade aucune idée du temps qu’il nous faudrait pour rétablir le système d’information. Les équipes infrastructures, systèmes et réseaux allaient beaucoup travailler dans des conditions inhabituelles. Il fallait faire en sorte de les préserver.

Quelles conséquences sur les services de la région ?

Une cyberattaque engendre une perte de données et des dégâts dans les infrastructures. Elle peut également générer une fuite de données confidentielles. Par chance, l’attaque subie par la Région Grand est n’a pas permis aux cybercriminels de récupérer des fichiers sensibles. Les agents et les élus ont été privés de messagerie et d’accès aux documents sur les serveurs communs de la région. Environ 7 500 personnes ont été concernées ainsi que les différents sites de la collectivité (Siège à Strasbourg, 12 maisons de Région, … au total une quarantaine de sites). Rapidement, nous avons très mis en œuvre un plan d’action. Après une semaine, 80 % du système d’information était de nouveau opérant. Nous avons demandé aux agents, par mesure de précaution, de changer et renforcer leur mot de passe. Au bout d’une semaine, nous avons pu remettre certaines applications en ligne, à commencer par les plus sensibles, notamment les finances et les ressources humaines. Après dix jours d’intervention, les agents pouvaient de nouveau se remettre au travail.

Quels enseignements avez-vous tiré de cette expérience ?

Une bonne organisation est primordiale. Il est important de savoir déterminer très rapidement qui mobiliser car il ne sert à rien de multiplier les acteurs dans ce genre de situation. Et disposer d’un plan d’action afin de dresser un état des lieux précis de ce qui fonctionne et ce qui ne fonctionne pas pour agir ensuite de manière la plus efficace possible. Il est nécessaire de disposer d’un plan de continuité d’activité (PCA).

La région a-t-elle renforcé ses systèmes de sécurité ?

A la suite de cet événement qui fut un véritable électrochoc pour les élus comme pour les agents, nous avons constaté une meilleure prise en compte de nos messages de sensibilisation à la sécurité, et notamment lorsque nous avons renforcé notre politique des mot de passe. C’est un point positif. Il est primordial de sensibiliser et former les équipes pour amener de nouveaux comportements. En parallèle, nous avons renforcé notre système d’information parce qu’une cyberattaque n’est autre que l’exploitation par des personnes mal intentionnées d’une faille dans un système. Malgré tout, nous ne sommes pas à l’abri d’une nouvelle attaque. Enfin, des investissements prévus en 2021 pour renforcer la sécurité de nos systèmes ont été débloqués l’an dernier. Malheureusement, aucune collectivité ne peut affirmer qu’elle est à l’abri d’une attaque, il est important de s’y préparer.

Propos recueillis par Blandine Klaas

 

 

 

Cher(e)s lecteur(trice),

Vous n’êtes pas abonné mais vous souhaitez recevoir des informations exclusives de la part de RCL, la Revue des Collectivités Locales, merci de renseigner le formulaire ci-dessous.