Jérôme Notin (Cybermalveillance) "1 220 collectivités françaises ont été victimes de cyberattaques en 2019"
Cybermalveillance regroupe Etat, entreprises, collectivités et particuliers pour les accompagner face à la cybersécurité. Son DG fait le point sur le niveau d'exposition des collectivités à ces risques.
JDN. Pouvez-vous présenter l'initiative Cybermalveillance ?
Jérôme Notin. Nous sommes un groupement d'intérêt public créé en mars 2017 dans le cadre d'un partenariat-public privé. Cybermalveillance regroupe une quarantaine de fédérations professionnelles, des associations représentant les victimes de cyberattaques comme UFC-Que Choisir, ainsi que des représentants des collectivités et d'institutions publiques telles que l'ANSSI, les ministères de l'Intérieur, de la Justice et des Finances, ou encore le secrétariat d'Etat au Numérique. Des prestataires techniques, comme Orange Cyberdéfense, font aussi partie du groupement. Ils financent le dispositif et nous assistent dans nos tâches du quotidien : sensibiliser aux risques cyber et aider les victimes.
A quel point les collectivités sont-elles exposées au risque cyber ?
Nous avons accompagné 90 000 parcours de victimes en 2019. Les collectivités représentent 1 223 d'entre elles, contre 865 en 2018. Elles possèdent des données qui ont beaucoup de valeur pour les hackers, comme celles de l'Etat civil. La date et le lieu de naissance ainsi que l'adresse d'une personne peuvent permettre de faire des faux papiers, ou d'accéder ensuite à d'autres comptes en ligne des victimes, qui peuvent être sécurisés par des questions secrètes demandant ce genre d'informations.
"Des collectivités ont déjà payé des rançons de petits montants"
Le risque va d'ailleurs s'accentuer. Car avec le développement de la smart city, si on n'a pas intégré la sécurité dès la conception, il peut y avoir de vrais drames avec des conséquences physiques. Par exemple si on bloque les feux rouges ou qu'on utilise les ampoules connectées de la ville pour mener des attaques par déni de service (DDoS) et faire tomber d'autres réseaux. Nous n'avons pour l'instant pas de cas connus de ce type en France. Les fabricants de ces systèmes portent aussi une part de responsabilité, car ils n'intègrent pas toujours le principe de security by design pour sortir rapidement leurs produits.
Quels sont les types d'attaques les plus courants ?
Le phishing est la première source de demande d'assistance, et c'est une porte ouverte à d'autres types de piratages. Nous avons aussi constaté une forte augmentation des ransomware. Auparavant, les pirates s'introduisaient dans les systèmes grâce au phishing, puis volaient ou détruisaient des données. A présent, ils font la même chose, mais après avoir pénétré et cartographié le système informatique, ils détruisent les sauvegardes, puis chiffrent les données et demandent une rançon pour les déchiffrer. Si la collectivité refuse de payer, ils vont commencer à diffuser les données volées, ce qui met une pression folle en termes de responsabilité RGPD et d'image.
Arrive-t-il que des collectivités cèdent et paient la rançon ?
Cela s'est déjà produit pour de petits montants. Ce mode opératoire va inciter les victimes à payer. En particulier si la collectivité n'a pas sauvegardé ses données, ou que les sauvegardes mal sécurisées ont été trouvées et détruites par les pirates : elles risquent alors de perdre toutes leurs données. Mon sentiment est toutefois que les pirates ont plus de facilités à viser les entreprises. Car l'argent public est plus contrôlé et difficile à sortir. C'est d'ailleurs illégal pour les élus qui décident de le faire. Nous recommandons toujours de ne pas payer, car les pirates se disent "qui a payé une fois paiera toujours". C'est même une information, accompagnée de données techniques, qu'ils peuvent se revendre entre eux.
Le niveau de sensibilisation au risque dépend-t-il de la taille des collectivités ?
"Si on n'a pas intégré la sécurité dès la conception, il peut y avoir de vrais drames avec des conséquences physiques"
On peut faire le parallèle avec les entreprises. Les grosses collectivités en ont conscience et ont mis en place des outils techniques ainsi que des mécanismes de sensibilisation des collaborateurs, même s'il peut y avoir des ratés. En revanche, les petites collectivités, comme les TPE, voient le risque cyber comme quelque chose qui ne les concerne pas. Mais les pirates savent s'adapter en demandant de plus petites sommes. Il y a un an, un groupe d'attaquants a ciblé le même weekend une petite chambre de commerce et une grosse PME qui faisait 50 millions d'euros de chiffre d'affaires. Ils ont demandé quelques milliers d'euros à la première victime et 150 000 à la seconde.
On assiste aux Etats-Unis à des piratages assez spectaculaires, comme celui de La Nouvelle-Orléans, qui, paralysée pendant plusieurs jours fin 2019, a dû décréter l'état d'urgence. Cela peut-il se produire en France ?
Cela va arriver. Les Américains sont simplement en avance en termes de déploiement des outils numériques. Nous aurons malheureusement des villes bloquées car elles n'auront pas intégré les concepts de sécurité par défaut dans leurs services.
La plupart des petites collectivités n'ont toujours pas nommé de délégué à la protection des données personnelles. Elles manquent de moyens et d'équipes informatiques pour se protéger. Est-ce peine perdue ?
Non, c'est une priorité qui doit devenir plus importante pour ces collectivités qui vont utiliser de plus en plus le numérique. Personne ne remet en cause le fait qu'il faut entretenir les routes pour assurer la sécurité routière. C'est pareil pour la sécurité numérique. Il existe de nombreux services pour mutualiser les DPO et les responsables de sécurité informatique entre plusieurs collectivités. Oui, les budgets baissent, mais on doit pouvoir le faire.
Jérôme Notin est directeur général de Cybermalveillance. Après une carrière dans le privé au sein de sociétés de cybersécurité, il rejoint l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en 2016 pour préparer le la création du dispositif Cybermalveillance, dont il prend la direction à son lancement en 2017.