Les collectivités face au risque de piratage informatique (1/2) : Aperçu de la menace

La semaine dernière, de nombreuses entreprises ont été victimes de l’une des plus importantes cyberattaques connues à ce jour. Dans ce contexte, la question de la vulnérabilité des collectivités territoriales face au risque de piratage informatique semble plus que jamais d’actualité.

Le 12 mai, WannaCry, un logiciel malveillant de type ransomware (logiciel rançonneur) auto-répliquant a infecté plus de 230 000 ordinateurs à travers le monde. Le virus a profité d’une faille de sécurité de Windows XP pour encrypter les données des utilisateurs, puis demander une rançon en échange du déblocage des fichiers infectés. Des entreprises d’envergure internationale, ainsi que des ministères ont ainsi été contaminés. Parmi eux, on compte notamment Renault, dont plusieurs sites ont dus suspendre leurs activités, ou encore le service public de santé britannique NHS, le Ministère de l’Intérieur russe ou la Deutsche Bahn, société des chemins de fer allemande.

De nombreux acteurs ne prennent pas la mesure de ce type de menaces, arguant que les pirates ont peu intérêt à attaquer une petite structure, telle qu’une commune. Le modèle de l’attaque par ransomware remet fortement en cause ce postulat. En effet, au delà du simple affichage de messages, le ransomware fait appel à un modèle économique à part entière. Une enquête menée en 2016 auprès d’entreprises françaises, britanniques, américaines et allemandes, a révélé que 48% d’entre elles avaient subi une attaque par ransomware. 65% des entreprises ciblées avaient alors payé la rançon. En fonction de la capacité de propagation d’un tel logiciel, ces attaques peuvent donc se révéler très lucratives.

Prise en compte de ce risque par les collectivités

En septembre 2015, l’association Primo France publiait une étude intitulée « Les collectivités territoriales face aux conséquences du cyber risque ». Suite aux attentats de janvier 2015, nombre de collectivités avaient en effet été victimes d’attaques. Prenant le plus souvent la forme de défaçage* de sites, ces dernières avaient pour objectif de diffuser des messages.

Cette étude faisait alors état du manque de connaissance des collectivités concernant leur propre parc informatique, ainsi que des référentiels existants, notamment le Référentiel Général de Sécurité. La formation des agents sur cette problématique reste très peu répandue, tandis que 95% des collectivités avouaient ne pas utiliser d’outils de cryptage pour sécuriser les données sensibles ou personnelles qu’elles possèdent.

L’étude soulignait ainsi l’importance de prendre en considération cet enjeu et d’être en mesure d’y répondre rapidement par la mise en place d’une cellule de crise compétente. En effet, le maire, à l’instar du chef d’entreprise, peut encourir des sanctions juridiques s’il n’a pas pris les mesures nécessaires à la protection des données de ses administrés. Notons toutefois que les sanctions demeurent très rares.

De même, suite à une attaque contre le Département du Tarn, un hacker a été condamné à verser 1000 euros d’amende et 1500 euros de dommages et intérêts. En 2014, il était parvenu à accéder au système de collecte et de traitement automatisé de données à caractère personnel.

Dans la Manche, une mairie a quant à elle pu chiffrer au centime près les pertes dues à une attaque de son réseau téléphonique. Durant tout un weekend, les hackers ont ainsi passé des appels vers l’étranger, pour un coût total de 3900€, somme non négligeable pour cette commune comptant à peine plus de 1000 habitants.

Ainsi, la menace est aujourd’hui réelle et le nombre d’attaques touchant des collectivités ne cesse de croître. Chaque collectivité se doit désormais de prendre des mesures pour contrer d’éventuelles attaques.

 

Bibliographie :

  • Ségolène KAHN, « Rapport inquiétant sur les collectivités territoriales face au piratage informatique », 23 septembre 2015, lien
  • ZDnet, « WannaCrypt : les 4 leviers de l’épidémie », 16 mai 2017, lien
  • Association Primo, « Les collectivités territoriales face aux conséquences du cyber risque », septembre 2015, lien
  • Pierre-Alexandre Conte, « Les collectivités territoriales cibles des Pirates Informatiques », 27 février 2017, lien
  • France 3 Occitanie, « Un hacker tarnais condamné à 1000 euros d’amende pour avoir piraté le site du Conseil Général », 19 février 2016, lien
  • Nick Ismail, « The ransomware business model » (eng), 11 avril 2017, lien

* Modification non sollicitée de la présentation d’un site web, à la suite du piratage de ce site.

 

 

Share Button

GEMAPI et ouvrages de protection : le guide du CEPRI

Le CEPRI vient de publier un nouveau guide méthodologique sur les ouvrages de protection contre les inondations. Ce dernier a notamment pour ambition d’aider les collectivités à répondre aux exigences de la réglementation issue du décret du 12 mai 2015.  

Source : CEPRI, 2017

Comme à son habitude, le CEPRI nous livre ce mois-ci un document très riche et fonctionnel, s’appuyant sur des entretiens réalisés auprès d’un large panel de collectivités directement concernées par ces nouvelles dispositions. Ainsi, chaque orientation est illustrée au travers d’exemples étayés.

Ce guide rassemble, en 100 pages, nombre de conseils pratiques adaptés à chaque étape de la mise en oeuvre d’une structure de gestion de digues. Ainsi, il aborde tant la phase d’état des lieux, que les aspects de gouvernance, la capacité technique ou encore le financement d’une telle infrastructure.

Par ailleurs, une attention particulière est portée sur les exigences de la nouvelle réglementation. La quatrième partie de l’ouvrage a ainsi pour ambition d’aider les décideurs à mettre en oeuvre ces dispositions. Elle détaille notamment le contenu du dossier de demande d’autorisation pour les systèmes d’endiguement que chaque EPCI ou commune a désormais l’obligation de présenter : liste, descriptif et localisation sur une carte des ouvrages ; estimation de la population protégée ; indication du niveau de protection ; étude de dangers ; consignes de surveillance et d’exploitation applicables en gestion courante et en période de crue. Cette section identifie également les éléments essentiels de l’étude de dangers.

En obtenant cette autorisation, le gestionnaire d’ouvrage peut alors bénéficier d’une exonération de sa responsabilité en cas de dommages. Cette exonération ne peut toutefois être accordée qu’à condition que les obligations réglementaires aient été strictement respectées et que le niveau de l’événement subi soit supérieur à celui pour lequel l’ouvrage a été dimensionné.

Parmi les autres exigences de la nouvelle réglementation, notons :

  • Remplir les obligations issues du décret n°2015-526 du 12 mai 2015 : modification des obligations administratives portant sur la revue de sûreté, les consignes écrites, l’auscultation de l’ouvrage ainsi que la fréquence des rapports de surveillance périodique et des visites techniques approfondies.
  • Garantir l’intervention sur les parcelles privées : Déclaration d’intérêt général, servitude de passage, servitude d’utilité publique, servitude créée pour la défense contre les inondations et contre la mer, Déclaration d’utilité publique.
  • Réaliser des travaux en fonction d’un niveau de protection fixé par la collectivité.

Enfin, la dernière partie du guide aborde les conséquences juridiques de l’application de ce décret, tant pour les gestionnaires que pour l’État ou les maires.

Source : CEPRI, 2017

L’attention des élus et des décideurs est ainsi attirée sur la nécessité de mener une réflexion approfondie en amont de la mise en oeuvre d’un dispositif d’endiguement. Tous les acteurs devront y prendre part, tant à l’échelle du bassin versant que du bassin de vie. Enfin, et ce point mérite d’être souligné, ce guide appelle les collectivités à envisager la prévention des inondations comme une compétence transverse, nécessitant également une prise en compte du risque dans l’aménagement, dans la communication auprès des citoyens ou encore dans la mise en oeuvre de politiques à l’égard des acteurs économiques locaux.

> Accéder au guide complet 

 

Share Button

Comment réagissez-vous en cas d’urgence ?

Le Centre de Crise belge a engagé, sur la période 2016-2019, une série d’actions innovantes visant à développer une culture citoyenne de l’urgence. Le 3 avril dernier, une mini-campagne a été lancée. Intitulée « Comment réagissez-vous en cas d’urgence ? », elle incite le citoyen à adopter les bons comportements face à l’information.

Source : Crisis Center Belgium
Source : Crisis Center Belgium, 2017

Depuis 2009, le Gouvernement fédéral belge porte une attention particulière à l’information des citoyens sur les risques. Ainsi, une campagne a été menée, en décembre 2016 sur le risque chimique lié aux sites Seveso. À cette occasion, des capsules vidéos, déclinées par Province, ont été diffusées sur Facebook et Youtube. Une équipe a par ailleurs sillonné les villes situées à proximité de sites Seveso afin de rencontrer les habitants et d’évoquer avec eux leur perception des risques.

Une enquête réalisée auprès de la population, a révélé l’intérêt des citoyens pour ces démarches : 75% des personnes interrogées souhaitent connaître les risques qui les entourent au quotidien.

L’initiative « Comment réagissez-vous en cas d’urgence » prend quant à elle la forme d’un quizz en ligne. Comportant 10 questions, il s’adresse à tous avec un ton léger et aborde les usages des médias et les sources d’informations en cas d’urgence. À l’issue du questionnaire, chacun se voie attribuée une appréciation, de novice à expert en passant par « sur la bonne voie ». L’objectif est ainsi d’encourager le citoyen à s’informer davantage. Il peut également partager ses résultats sur les réseaux sociaux et inciter son entourage à faire le test. Pour amener le plus de citoyens possible à se tenir informés des initiatives du Centre de Crise belge, ils sont invités à renseigner leurs coordonnées et peuvent ainsi recevoir un petit cadeau à l’effigie du projet.

Le Centre de Crise belge a par ailleurs publié une liste des émetteurs d’informations officiels à suivre en cas d’urgence en Belgique. Elle rassemble les sites internet, ainsi que les comptes Facebook et Twitter des Gouverneurs des 11 provinces belges.

L’année 2017 sera par ailleurs celle du lancement d’un nouveau système Be-Alert, dont nous vous avions déjà parlé sur ce blog. Nous ne manquerons pas de revenir sur cette démarche lors de sa mise en œuvre.

Pour 2018 et 2019, les grands axes sont déjà définis : un calendrier mensuel des risques que les autorités locales pourront décliner en actions de sensibilisation et une série d’activités pédagogiques pour à destination des collectivités et des écoles.

Un grand merci à l’équipe du Centre de Crise belge pour sa participation à la réalisation de cet article.

PS : Toute l’équipe du Pavillon Orange attend avec fébrilité son gadget sympa…

Share Button

Perspectives 2017 – Déploiement de l’Écosystème Orange et départ du Général Vernoux


Chers membres du label Pavillon Orange,

Depuis 2009, notre label récompense votre engagement en matière de sauvegarde des populations et de sécurité civile. Nous tenons tout d’abord à vous remercier pour la réflexion durable que vous entretenez sur ces questions. Tandis que notre pays fait face à de nouvelles menaces, les acteurs locaux, et nous-mêmes acteurs de la sécurité, nous nous devons d’adapter nos stratégies pour mieux faire face ensemble.

Ainsi, sous mon impulsion et avec le soutien du Ministère de l’Environnement, nous avons décidé de donner au Pavillon Orange un nouveau départ. Il s’intègre maintenant dans l’Écosystème Orange, rassemblant l’ensemble des outils dédiés à la résilience territoriale développés par le HCFDC.

Dans ce cadre, nous vous présenterons très prochainement les modalités de cette évolution de notre dispositif. Nous souhaitons notamment que le réseau des villes labellisées Pavillon Orange soit davantage tourné vers les territoires, afin de favoriser, au plus près, la réflexion et le partage de pratiques innovantes en matière de résilience territoriale, qu’il soit mieux reconnu par vos concitoyens et par d’autres partenaires (assurances, primo-intervenants, entreprises…).

La plate-forme d’évaluation reste quant à elle opérationnelle. Vous pouvez toujours vous évaluer en ligne et nous laisser vos commentaires ou questions à l’issue du questionnaire.

Nous vous informons par ailleurs que le Général Vernoux nous a fait part de son souhait de ne pas poursuivre sur cette nouvelle phase de développement. Il quitte donc le Pavillon Orange après 7 ans de services rendus. Il doit à ce titre être remercié pour son engagement et ses conseils. Célia Bellange, chef de projet en charge du label, reste à votre disposition et assurera l’intérim en attendant la désignation prochaine d’un coordinateur national de l’Écosystème Orange et de représentants zonaux, d’ici la rentrée prochaine (septembre), ainsi que la présentation de nos nouveaux outils : SOLIC et Bouclier Orange.

Je vous prie de croire, au nom de toute l’équipe du HCFDC, en l’expression de nos cordiales salutations.


Jacques Gautier
Président du Haut Comité Français pour la Défense Civile
Ancien Sénateur des Hauts-de-Seine
Maire de Garches (92)

Share Button