Les villes face aux cyberattaques : acquérir les bons réflexes
Cible grandissante de cyberattaques ces dernières années, les collectivités locales se mobilisent pour mieux comprendre et prévenir les menaces informatiques. Illustration à Châteauroux ce mardi 7 mars où Gil Avérous, maire de la ville et président de la métropole, inaugurait un programme lancé par Villes de France, Cybermalveillance.gouv.fr et les Google Ateliers Numériques. L’objectif : sensibiliser les agents des collectivités locales à la cybersécurité.
Gil Avérous se souvient avec clarté de sa soirée du 20 septembre 2022. A 22h30 passées, le maire de Châteauroux devait convoquer séance tenante une cellule de crise. « Nous avons reçu une alerte, parce que nos serveurs avaient un surplus d’activité à une heure très inhabituelle, raconte l’édile. Nous avons réalisé que notre capacité de stockage disponible était exploitée, pour faire de la cryptomonnaie. » La collectivité devra couper pendant trois jours ses accès Internet, le temps de purger son architecture informatique de toute intrusion extérieure. Victime d’une cyberattaque, Châteauroux rejoignait alors la longue liste de villes et de communes impactées par le piratage.
Sensibiliser les agents des collectivités
Les collectivités locales sont ainsi de plus en plus exposées à la menace cyber - selon une enquête Toluna-Harris Interactive réalisée en 2022 pour Google, 81% des communes estiment ainsi que la ville et les services de la mairie sont exposés au risque d’attaques informatiques°. Un constat partagé par Jérôme Notin, directeur général de Cybermalveillance.gouv.fr - dispositif national de sensibilisation, de prévention et d’assistance aux victimes d’actes de cybermalveillance - : « Plus aucune entité publique n’échappe à la menace. Or, si les grandes entreprises sont plus « armées » pour faire face aux défis de la cybersécurité, les collectivités territoriales, et notamment les plus petites, en sont encore loin. » « Mais depuis trois ans, nous constatons une prise de conscience massive des agents locaux, reprend Gil Avérous. Par exemple, à Châteauroux, nous avons inclus un volet incidents cyber à notre Plan communal de sauvegarde, qui établit les protocoles et actions des acteurs communaux en cas de crise. » Pour mieux combattre les cyberattaques, les municipalités ont aussi intégré qu’il leur fallait consolider la faille la plus exploitée des hackers : la négligence humaine. C’est souvent via l’envoi de liens, de mails ou de SMS d’apparence anodine aux agents des collectivités que les pirates trouvent une porte d’entrée pour perturber les capacités informatiques des villes. Face à cette menace, Jérôme Notin prône la sensibilisation : « Il est crucial d’éveiller les élus et les agents afin de les rendre non seulement plus conscient du risque mais aussi de leur transmettre les bons réflexes à adopter, d’où la nécessité de les sensibiliser, les responsabiliser, les préparer et les former à être plus fort face au risque cyber. » Et de poursuivre : « Nous sommes convaincus que pour évoluer dans un environnement numérique de confiance, dans sa collectivité, comme au quotidien, nous avons tous une responsabilité à porter en matière de cybersécurité. Nous sommes tous concernés ».
Le mardi 7 mars, Villes de France (association pluraliste d’élus qui rassemble les villes de 10 000 à 100 000 habitants et leurs agglomérations du territoire national, présidée par Gil Avérous), Cybermalveillance.gouv.fr et les Google Ateliers Numériques inauguraient ainsi à Châteauroux les premières sessions d’un programme de sensibilisation des agents des collectivités locales à la cybersécurité. « Ces formations doivent permettre d’acquérir les bons gestes, d’identifier les dangers et problématiques liés aux risques cyber, résume le Secrétaire Général de Google France, Benoit Tabaka. Par exemple, quand vous recevez un mail, adopter certains réflexes : regarder qui est l’expéditeur, la forme du message, s’il y a des fautes d’orthographe, des choses qui vous paraissent inhabituelles… L’objectif est de fournir un premier niveau de protection. »
Une menace qui évolue, les formations aussi
Directrice du centre communal d’action sociale de Châteauroux, Emmanuelle a pu bénéficier de cette session de formation, animée par des coachs Google Ateliers Numériques : « C’est toujours utile de nous sensibiliser à certains bons gestes, par exemple, comment choisir des mots de passe vraiment sécurisés. On prend aussi conscience de la globalité de la menace. Aujourd’hui, tout le monde est concerné. » Alors que le dispositif devrait être étendu à plusieurs communes du réseau Villes de France, Gil Avérous veut aussi ritualiser l’exercice dans l’agglomération castelroussine : « C’est un peu comme les gestes de premiers secours : il y a une formation initiale, puis, ensuite, vous instaurez des mises à jour régulières. » Outre ces formations, Cybermalveillance.gouv.fr a développé des contenus spécifiques pour les collectivités comme un programme de sensibilisation aux risques numériques avec des vidéos ou des témoignages et des fiches descriptives sur les principales menaces rencontrées. Des adaptations également nécessaires pour rester proactif face aux évolutions et mutations constantes des menaces cyber : « De nouvelles pratiques voient régulièrement le jour en terme de cybermalveillance, conclut Benoit Tabaka. Par exemple, des techniques de compromission par la voix, synthétisées par l’intelligence artificielle, commencent à se développer. Ces IA peuvent passer des coups de fil en se faisant passer pour quelqu’un. On devra ajuster le programme en fonction de ces évolutions. L’idée, c’est d’accroître constamment la capacité de vigilance de chacun et chacune. »
°Enquête Toluna-Harris Interactive réalisée pour Google auprès d’un échantillon de 101 mairies de communes de 10 000 à 100 000 habitants.