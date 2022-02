Numérique

Publié le 22/02/2022 • Par Caroline Vinet • dans : Innovations et Territoires

A moins d’un an d’intervalle, fin 2020 et fin 2021, la communauté d’agglomération et la ville d’Annecy ont été victimes de cyberattaques. Après la première attaque contre l’agglomération, la ville a recruté un responsable de la sécurité des systèmes d’information, qui a permis une réponse rapide.Inégalement préparées, les deux collectivités n’ont pas subi les mêmes dégâts. Toutes deux ont fait appel à des sociétés spécialisées.

Chiffres-clés 20 % des victimes de rançongiciels en 2020 sont des collectivités territoriales, selon l’Anssi. Dans le cadre du plan France Relance, l’Etat a débloqué, pour la période 2021-2022, 136 M€ afin de renforcer la cybersécurité, dont la moitié allouée aux collectivités.

[Ville et CA d’Annecy (Haute-Savoie) 23 communes • 203 800 hab.] Ce 24 novembre 2021, il est 10 heures quand les services informatiques de la ville d’Annecy reçoivent l’alerte : une connexion « malveillante » a été détectée sur ses serveurs. Un pirate s’est introduit dans le système informatique. La réponse du RSSI , nouvellement ­recruté, est immédiate. Quarante-cinq minutes plus tard, les systèmes de sauvegarde de la commune sont déconnec­tés des serveurs et une société spécialisée en cyber­sécurité mandatée pour répondre à la menace. Deux autres sociétés viendront plus tard compléter l’arsenal. Elles ont été retenues dans le catalogue de l’ Anssi­ .

Le soir même, le pirate lance son attaque sans avoir le temps de se propager dans les serveurs. De nombreux fichiers et bases de données se retrouvent cryptés. L’assaillant exige une rançon pour les débloquer. La ville refuse et dépose plainte. La Cnil et l’Anssi sont saisies. L’envergure de l’attaque est tell que la direction générale de la sécurité intérieure se saisit de l’enquête. Pour sa première cyber­attaque, Annecy a écopé d’un virus encore inconnu des services de renseignement.

Déconnexion et reformatage

Difficile, pour l’heure, d’évaluer les dégâts. Plusieurs semaines après l’attaque, la ville tourne toujours au ralenti. « On est retournés à la feuille et au crayon », résume Marie-Pierre­ Sidi vMoussa, la directrice générale adjointe du département « ressources ». Par mesure de sécurité, tous les postes et les prises réseau ont été déconnectés. « On a reconstruit intégralement notre annuaire et les connexions de notre réseau. Mais il faut reformater un à un les 2 200 postes pour effacer toute trace de l’ancien système d’information –vpotentiellement infecté – avant de mettre le nouveau », explique Benoît­ ­Christin, DSI d’Annecy.

En attendant, et pour répondre à l’urgence de la gestion des factures­ et de la paie, la mairie a mis en place une « salle blanche » : 27 ordinateurs « nettoyés » pour faire tourner la machine. La ville espère un retour à la normale fonctionnel sous trois mois et « optimal » sous six mois. « Ce qui nous a sauvés, ce sont les sauvegardes et la rapidité de la réponse du RSSI ! » salue ­Benoît Christin­.

Fuite de données

Le Grand Annecy, victime d’une cyberattaque un an plus tôt, n’a pas eu cette chance. Le virus « Pysa » a frappé dans la nuit du 27 au 28 décembrev2020. « Mais qui sait depuis quand il était là ? » s’interroge Françoise­ ­Ringot, directrice des systèmes d’information et du numérique. La communauté d’agglo n’a pas reçu d’alerte.

Cette fois-ci, le virus paralyse l’ensemble des 700 machines du réseau informatique – à l’exception du réseau d’eau potable, des bus et de la téléphonie. Une plainte est déposée à la Cnil. Il aura fallu trois mois à l’interco pour récupérer ses fichiers grâce à une société­ de cybersécurité. Mais certaines données sont perdues. « On a dû redémarrer la messagerie à blanc parce qu’on savait que le virus se trouvait potentiellement encore dans d’anciens emails », confie Françoise Ringot. Au mois de mai, nouveau rebondissement : les données personnelles de 1 000 agents du Grand Annecy sont divulguées sur le Dark Web. Chacun d’entre eux est prévenu par courrier.

Plus d’un an après, l’enquête est toujours en cours. « Ça nous a appris à être humbles », ­reconnaît Jean-Christophe Bortolato, directeur général adjoint chargé de l’admi­nistration. « Depuis, on a mis l’accent­ sur la sensibilisation de nos agents au hameçonnage. On a aussi renforcé la surveillance des postes et le cloisonnement pour circonscrire les attaques. »

Quand la ville d’Annecy est attaquée, l’agglo coupe immédiatement les nœuds de connexion qui la relient à l’infrastructure de fibre optique, limitant le risque d’être à son tour infectée, et propose son aide à la commune. « Mais le virus et le niveau d’intrusion étaient différents, note Benoît Christin. Ils ne pouvaient pas vraiment nous aider. » Tout au moins ont-ils ­retenu la leçon de la première attaque et renforcé leur vigilance à l’approche des fêtes.

Conséquences financières : investissement informatique d’urgence, perte de recettes, inac­tivité des agents… le bilan de l’attaque promet d’être élevé pour la ville.

« Il ne faut surtout pas payer la rançon » Jérôme Notin, directeur général de Cybermalveillance.gouv.fr « L’une des premières choses que font les cybercriminels quand ils arrivent à entrer dans un système d’information, c’est de détruire les sauvegardes. Ensuite, seulement, ils chiffrent les données. Cela rend la réinstallation des systèmes beaucoup plus compliquée pour la victime, qui est tentée de payer la rançon. La ville d’Annecy a bien réagi en déconnectant ses sauvegardes. Il ne faut surtout pas payer. D’abord, ça ne permet pas de retrouver un système d’information sain, ensuite, on sait d’expérience que les cybercriminels travaillent en réseau et peuvent partager la liste des bons payeurs. Toutes les collectivités seront attaquées un jour ou l’autre. Il vaut donc mieux investir dans la cybersécurité : s’équiper d’un pare-feu, mettre à jour son antivirus, avoir une sauvegarde de sécurité, sensibiliser ses agents… »

