“Les cyberattaques n’arrivent pas qu’aux autres”
Rançongiciels, hameçonnage, piratage de comptes en ligne… les menaces informatiques n’ont jamais autant pesé. Pour autant, 65 % des personnes élues et des gestionnaires de collectivités de moins de 3 500 habitantes et habitants estiment que le risque de cyberattaque est faible, voire inexistant*. Comment mieux accompagner celles et ceux qui sont la cible de ces nouvelles formes d’attaque ? Réponse avec Jérôme Notin, directeur général de cybermalveillance.gouv.fr
Observe-t-on un accroissement des cyberattaques ciblant des entreprises publiques et privées ?
La numérisation croissante des entreprises, des services aux administrés et des outils que les collectivités utilisent en interne rend ces organismes plus perméables aux actes de cyberattaque. Les chiffres en témoignent : en 2021,173 000 victimes ont fait appel à notre dispositif national d’assistance, qu’il s’agisse de particuliers, d’entreprises ou de collectivités – en augmentation de près de 70 % par rapport à 2020. Un nombre déjà largement dépassé pour l’année 2022. Nous observons, en parallèle, une professionnalisation des escroqueries numériques. Les cybercriminels ont énormément de moyens et sont organisés comme des mafias, avec des groupes spécialisés, créatifs et réactifs. Un exemple : la cathédrale Notre-Dame de Paris était encore en train de brûler que l’on voyait déjà apparaître des faux sites de cagnotte. Qui aurait pu imaginer cela ?
Les organismes locaux ont-ils pleinement conscience de ces risques ?
Insuffisamment. Nous avons publié, par exemple, une étude évaluant le niveau de maturité et de sensibilisation des personnes élues dans les collectivités de moins de 3 500 habitantes et habitants, qui représentent quelque 31 700 communes. Résultat : 65 % d’entre elles estiment que le risque de cyberattaque est faible, voire inexistant, et les 2/3 des publics (maires, adjointes et adjoints, agents) n’ont jamais été formés à la sécurité numérique. En 2022, qui plus est dans un contexte de massification du télétravail, occulter les principes de cybersécurité n’est pas pensable.
Les actrices et acteurs des territoires présentent-ils un intérêt particulier pour les cybercriminels ?
Le sujet n’est pas tant celui de la rançon, les collectivités ayant peu d’argent, que celui des données personnelles. Prenons l’exemple de la cantine : en piratant le système d’information de la collectivité, on peut obtenir le nom des enfants inscrits, l’adresse postale de leurs parents et éventuellement leur RIB. Ce peut être le point de départ d’une escroquerie, qui peut revêtir diverses formes : piratage de compte, violation de données personnelles, virus, usurpation d’identité… La menace principale est l’hameçonnage, en hausse de 143 % en 2021 par rapport à 2020.
+ 95 %
c’est l’augmentation des demandes d’assistance par des collectivités ou entreprises en 2021 à la suite d’une attaque, les rançongiciels restant la 1re menace.
(Source : Cybermalveillance.gouv.fr)
Près de 30 %
des collectivités territoriales ont été victimes en 2020 d’une attaque au rançongiciel.
(Source : Clusif.)
12 %
seulement des collectivités ont connaissance de mécanismes juridiques concrets pour répondre aux enjeux de la cybersécurité.
(Source : FNCCR.)
De quelles solutions les territoires disposent-ils pour endiguer ce risque ?
Pour commencer, des solutions très simples, comme les pare-feu et les antivirus, existent. D’après nos études, 77 % des collectivités de moins de 3 500 personnes n’ont pas de responsable informatique et en externalisent la gestion. Or, ces prestataires font de l’informatique mais pas toujours de la cybersécurité. Notre label ExpertCyber a vocation à permettre aux collectivités d’identifier partout en France les prestataires de confiance. Nous en avons évalué techniquement et certifié plus de 200. Notre dispositif “Alerte Cyber”, lancé avec les principales fédérations des entreprises MEDEF, CPME, U2P, CCI... peut aussi alerter les entreprises en temps réel sur la nature des menaces qui pèsent sur elles et les aider à prendre les bonnes décisions en cas de crise. Nous avons également édité un guide pratique avec Bpifrance à destination des dirigeantes et dirigeants de TPE, PME et ETI, et publié avec la CNIL un guide sur la responsabilité juridique des personnes élues dans les collectivités. Enfin, nous venons de lancer avec l’AMF une méthodologie clé en main pour permettre aux collectivités de sensibiliser leurs agents à la cybersécurité, car c’est l’affaire de tous.
En quoi la formation est-elle essentielle ?
Avant même la formation, il y a la sensibilisation. Nous avons produit 4 vidéos jouant sur l’univers des fables de La Fontaine pour répondre aux justifications le plus souvent avancées par les personnes élues pour différer le sujet : « Pas ma priorité », « Pas de budget », « Pas concerné » et « Pas le temps ». Sur le volet formation, nous avons engagé des travaux visant à former courant 2023 des prestataires de terrain pour leur permettre d’être éligibles à notre label “ExpertCyber”. Par ailleurs, notre partenaire Google France a lancé le “Cyber Tour”, une tournée de sensibilisation et de formation à la cybersécurité des TPE-PME à travers 11 villes de France, et a soutenu la création d’une édition spéciale des Incollables – “Deviens un superhéros du Net” – par l’association e-Enfance pour sensibiliser les élèves de primaire aux dangers d’Internet et aux bons réflexes à adopter…
Quels sont vos projets de cybersécurité en cours ?
Un équivalent numérique du numéro d’urgence, “17 Cyber”, devrait voir le jour sous peu pour les victimes de cyberattaque. Des incidents comme le piratage du Centre hospitalier Sud Francilien (CHSF) de Corbeil-Essonnes, en août, ou de la mairie de Caen, en septembre, sont des catalyseurs. Ils amènent à prendre conscience du fait que ces attaques n’arrivent pas qu’aux autres. Nous partons de loin mais si les prises de conscience du privé comme du public convergent, j’ai bon espoir que nous finissions par être collectivement mieux armés et prêts pour y faire face.