— 30 % des collectivités auraient subi une attaque en 2020. Ce chiffre ne vous semble-t-il pas exagéré ?
Serge Babary : C’est le chiffre qui a été indiqué par différents organismes. Nous avons publié une carte de France indiquant les répartitions géographiques de ces attaques. Elles ne sont pas toutes du même niveau : il y a là-dedans aussi bien des SMS pas très dangereux que de l’hameçonnage ou de la demande de rançon. Il y a vraiment une grande diversité, mais aussi des attaques envers les administrations, car quand nous parlons de collectivités locales, on englobe tout ce qui est organisme public, comme les hôpitaux par exemple.
«La prise de conscience du danger ne suffit pas, il faut mettre des moyens en œuvre.»
— Que peut-on dire de l’état de préparation des collectivités face à ces risques ?
SB : Jusqu’à ces derniers mois, il y avait à la fois une méconnaissance du risque et quasiment une absence de réponses techniques, les services de sécurité informatique n’existant pas dans bien des cas. Nous en sommes au stade de la mise en garde, mais la prise de conscience du danger ne suffit pas, il faut mettre des moyens en œuvre. Sur ce point, tout le monde n’est pas sur un pied d’égalité. La menace peut sembler moins grave quand il s’agit d’une petite commune, sauf que les dégâts sont à peu près du même ordre que dans les grandes. Les services numérisés sont bloqués, il faut consacrer parfois beaucoup de temps pour remettre les choses en ordre, et surtout, cela peut générer un manque de confiance de la part de la population qui délivre aux collectivités des données confidentielles. Il a fallu plus d’un mois à une grande ville de Nouvelle-Aquitaine pour réparer son système.
— On parle d’attaques par rançongiciels. Qu’en est-il ?
SB : Il faut écarter cette menace du débat. Les collectivités locales comme les établissements publics ne peuvent pas répondre sur le plan pratique à une demande de rançon, car la comptabilité publique ne le permet pas. Les hackers, souvent domiciliés à l’autre bout du monde, ne connaissent pas forcément cette particularité. Par exemple, ils attaquent des hôpitaux publics en France parce qu’ils en ont déjà attaqué dans d’autres pays où le système de santé est privé et où ils ont sans doute pu extorquer de l’argent. Il faut écarter le problème des rançongiciels du débat, car il ne peut y avoir de réponse. De toute façon, il ne faut jamais payer une rançon. Cela ne garantit pas que le problème technique sera résolu et ne met pas à l’abri d’une nouvelle demande.
— Quelles suites donnez-vous au rapport de votre mission d’information ?
SB : En tant que sénateurs, notre rôle est d’être proches des collectivités. Nous avons édité un document qui a été diffusé à l’Association des maires de France, des départements, des régions, des maires ruraux… afin de les mettre en garde, d’alerter. Nous incitons les petites communes à mutualiser les moyens, par exemple au niveau de leur EPCI quand c’est possible, à mettre en place auprès du président et de la direction générale un responsable du service de sécurité informatique pour l’ensemble des communes. Son rôle doit être notamment de s’assurer que chacune d’entre elles a pris des dispositions en cas de crise. Quand la crise survient, il ne faut pas chercher à résoudre les choses tout seul, mais porter plainte et demander l’appui de services spécialisés. Que ce soit auprès de l’ANSSI ou, au niveau local, auprès de la Gendarmerie nationale ou de la Police nationale, dans les deux cas il y a des spécialistes de la cybersécurité. Dans ces domaines-là, on est plutôt bons en France.
