ATTENTION cela n'arrive pas qu'aux autres

Après de nombreuses collectivités de toutes tailles, dont la Mairie d’Angers, le Centre Interdépartemental de Gestion de Versailles ou la Mairie de Bondy, c’est désormais au tour du Conseil départemental d’Indre-et-Loire d’être aujourd’hui paralysé par une cyberattaque.

La quasi-totalité des installations informatiques du département sont corrompus, et plus aucun mail ni appel ne peuvent être reçus ou émis depuis la collectivité. C’est l’ensemble de l’activité du département qui est aujourd’hui à l’arrêt et ne peut plus assurer ses missions qui, rappelons-le, touchent à des situations sensibles liés à l’action sociale et au versement des aides pour les personnes en situation de vulnérabilité.

De même, dans l’incapacité de procéder au versement des paies de ses agents, le Conseil départemental a dû prendre contact en urgence avec les services de la Préfecture et de la trésorerie pour que soit maintenue un semblant de rémunération, basée sur ce qu’ont touché les agents sur le mois de juin, et qui ne pourra tenir compte des évolutions de carrière ou des réévaluations réglementaires (et notamment de l’évolution du point d’indice) que dans de nombreux mois (lorsque le service de la paie pourra être à nouveau fonctionnel).

En tant que collectivité territoriale, nous ne sommes pas à l’abri d’une telle attaque qui nous renverrait à l’âge des cavernes !

Pour rappel, la Mairie d’Angers, qui avait subi une telle attaque en 2021, a dû ressortir pendant plusieurs semaines les machines à écrire et les annuaires papier pour pouvoir assurer la continuité de service !

Une cyberattaque dans une collectivité, c’est (entre autres) :

• Le dysfonctionnement des services publics locaux (mise à l'arrêt de parkings, de piscines, de musées, de stations d'épuration, graves perturbations de l'état civil empêchant, par exemple, la délivrance de permis d'inhumer pendant une semaine...) ;
• La perte irrémédiable de données informatiques, de ressources humaines et financières ;
• Des conséquences financières : mise au chômage technique d'employés de mairie, pertes de ressources liées à la mise à l'arrêt de certains services payants, éventuel paiement de rançons (ce que nous ne recommandons sous aucun prétexte !), etc. ;
• Des conséquences humaines : altération du lien de confiance avec les citoyens et impact psychologique sur les agents territoriaux.

Attaquée en 2020, la Mairie de Bondy essuie encore les dommages et estime les coûts de remise en service de son système d’information à 1,5 million d’euros (source : Ouest-France, « Seine-Saint-Denis. Victime d’une cyberattaque, Bondy estime les dommages à 1,5 million d’euros », 12 juillet 2022).

Enfin, et alors que nous écrivons ces lignes, nous apprenons également que La Poste a subi une attaque visant son application « La Poste Mobile », par laquelle les données à caractère personnel de ses 1,8 millions d’abonnés ont été dérobées.

Il est également très important de garder à l’esprit que la taille de la collectivité importe peu ! Les cybercriminels peuvent viser tant les grandes collectivités, bénéficiant de ressources financières plus importantes (et donc représenter une cible de choix), que les collectivités de tailles plus modestes, bénéficiant de moins de moyens pour se protéger (et qui sont donc des cibles faciles). A titre d’illustration voici une carte issue du rapport du Sénat du 09 décembre 2021 « Les collectivités territoriales face au défi de la cybersécurité » présentant les collectivités victimes de cyberattaques sur l’année 2020 :

Si certains d’entre nous ont la chance de pouvoir prendre quelques jours de repos en cette période estivale, ce n’est pas le cas des cybercriminels qui profitent de cette période de relâchement pour frapper et tenter de soutirer de l’argent auprès de nos collectivités, soit en bloquant leur activité contre rançon, soit en exfiltrant des données personnelles qu’ils menacent de diffuser faute de paiement.

Par conséquent, nous vous invitons à faire preuve de la plus grande vigilance quant à toute activité suspecte ou tout mail douteux sur votre système d’information !

Pour vous aider à lutter contre ces menaces, nous vous proposons quelques conseils afin d’adopter les bons gestes en matière de cybersécurité sur notre site internet à l’adresse : https://www.cdg30.fr/sensibilisation-la-protection-des-donnees-personnelles

Vous pouvez également retrouver de nombreuses informations sur les sites de l’ANSSI (www.ssi.gouv.fr/) ou sur le site www.cybermalveillance.gouv.fr