Attaque informatique : trois jours noirs dans le Grand Est
En février, la Région Grand Est a fait face à un « rançongiciel » qui bloque toute son informatique. Récit de la gestion de crise, vécue par le cabinet du président de Région.
Il y a des jours qui commencent mal. Ce vendredi 14 février, entre 4h et 5h du matin, l’accès à tous dossiers du réseau de la région Grand Est est bloqué. « Nos équipes s’en sont rendu compte vers 7h30, et découvrent une demande de rançon pour rétablir les serveurs. » Pour le directeur de cabinet de Jean Rottner, ce sont trois journées noires qui démarrent. « Tout le monde partage les informations, notes, dossiers, y compris le cabinet. Vous ne pouvez plus travailler si vous n’avez plus accès au réseau » rappelle Alexandre Mora.
Au fil des minutes, les informations remontent, et au début le cabinet prend la main avec validation de Jean Rottner, le président de la Région. « On informe le préfet de la sensibilité du sujet, nous contactons la police judiciaire, la section spécialisée en cyber-criminalité à Strasbourg. A 9h un message est transmis aux 1900 collaborateurs pour les informer que tout le réseau a été débranché. A 9h50 j’ai la PJ au téléphone. A 10h15, nous informons les élus et la presse lors de la réunion de la Commission permanente ; étonnamment, les journalistes présents ne reprennent pas l’information » détaille Alexandre Mora.
Le virus est identifié : il se transmet par des pièces jointes. A la fin de la matinée, le directeur informatique signale qu’une attaque semblable a duré un mois au CHU de Rouen, et que le réseau ne sera pas rétabli dans le week-end. Une bonne surprise : « la société qui avait dépanné le CHU de Rouen est notre prestataire, ce qui a permis d’aller très vite dans la réponse. » Les équipes travaillent tout le week-end, le niveau de sécurité est rehaussé, de nouveaux outils de sécurité sont installés, tous les mots de passe sont changés. Le lundi 19, les mails fonctionnent de nouveau, mais avec l’impossibilité d’y intégrer une pièce jointe.
Pour Alexandre Mora, il est temps de souffler. « En tant que directeur de cabinet, il faut aussi connaître les limites de ses fonctions : c’est à moi de faire le lien avec la PJ, de participer à la mise en place de la stratégie de communication avec les agents de la collectivité, de faire l’interface entre la collectivité et le monde extérieur. Mais une fois que les choses sont enclenchées, je n’ai pas vocation à garder la main sur des choses qui ne sont pas de mon ressort, et dont je ne suis pas spécialiste. La direction générale des ressources, qui pilote le service informatique prend la main sur le sujet. »
Gérer la crise en interne et en externe
Pour le directeur de cabinet, deux communications de crise doivent être gérés simultanément, en externe et interne. « La question en externe était : nos administrés vont-ils être impactés ? Si l’on avait été en période de rentrée scolaire, avec les inscriptions dans les lycées, nous aurions aurait mis en place une communication de crise majeure vis-à-vis de l’extérieur. La crise est restée en interne. Le grand public n’a pas du tout subi de conséquences » estime Alexandre Mora. La presse ne va réagir que le mardi, après une dépêche de l’AFP. « Tous les médias nous ont alors appelé. Mais durant le week-end nos équipes avaient travaillé, le problème était largement résolu » sourit le directeur de cabinet.
En interne, la gestion de crise passe par plusieurs étapes : communiquer à l’ensemble des collaborateurs les procédures à suivre, suivre le diagnostic technique et l’évaluation des dommages, informer les élus de la situation, et traiter avec la PJ qui fait son travail d’enquête. « Il y a eu trois jours noirs durant lesquels on était bloqué. Les délibérations prises en Commission permanente n’ont pas pu être notifiés, et les soutiens aux projets économiques, agricoles, lycées, se sont retrouvés bloqués durant environ huit jours pour notification et transmission. Il y a donc eu du retard dans le traitement, mais dans l’absolu, il n’y a pas eu de dégâts. Pour le grand public, l’attaque a été indolore » évalue le directeur de cabinet. « Les pirates ont bloqué le système, ils n’ont rien pris. La question s’est posée de savoir s’ils avaient eu accès aux données bancaires des collaborateurs, ou le fichier des aides aux entreprises : ce n’est pas le cas. Il n’y avait pas de revendication politique ou militante, on est dans la cybercriminalité pure ».
Alexandre Mora reconnaît que l’informatique interne ne faisait pas partie jusque- là des priorités : « dans les cabinets, c’est un sujet dont on se préoccupe traditionnellement peu. Or il y a un enjeu majeur de sécurité informatique. »
Fabrice Pozzoli-Montenay
Publié dans CourrierCab n°128, mars 2020
L’ANSSI assiste les collectivités territoriales
En tant qu’autorités administratives, les collectivités territoriales ont l’obligation de respecter le référentiel général de sécurité (RGS). Ce texte définit les exigences de sécurité à respecter et les processus de qualification des prestataires de service. L’agence nationale de la sécurité des systèmes d’information (ANSSI) déploie depuis plusieurs mois des délégués régionaux dans l’ensemble de la France. Leur mission est de faire « entrer en cohésion tous les acteurs sur les questions des risques informatiques », et de « prévenir les incidents et sensibiliser les acteurs locaux du public et du privé aux bonnes pratiques informatiques ». Ils permettent d’accéder à des formations et des évaluations en sécurité informatique.
L’ANSSI a aussi mis en place un dispositif d’assistance aux victimes d’actes de cybermalveillance. Il permet aux collectivités territoriales de se mettre en relation en relation avec des prestataires de proximité susceptibles de restaurer leurs systèmes, et de sensibiliser les agents à la sécurité du numérique pour prévenir des risques.
Des attaques qui visent aussi les collectivités
En 2018, une attaque d’ampleur touchait les administrations et entreprises de 150 pays : des aéroports, des usines, hôpitaux, universités se trouvaient paralysés. En France, le CHU de Rouen a été victime d’un rançongiciel qui a paralysé son informatique en novembre 2019. En octobre, c’était l’agglomération du Grand Cognac qui voyait toutes ses données rendues inaccessibles par un cryptage frauduleux, avec une demande de rançon de 180.000 euros. L’ANSSI indique dans une note récente 69 « incidents majeurs » en France en 2019.