« En matière de cyberattaques, les communes valaisannes sont très exposées ». Le ministre valaisan des institutions et de la sécurité, Frédéric Favre, ne faisait pas mystère, fin décembre des menaces qui pèsent aujourd’hui sur les entités publiques. En Valais comme ailleurs, les Communes restent les grandes oubliées de la lutte pour la cybersécurité. Il y a eu Rolle, Montreux, Bülach, victimes de cyberpirates, mais plus largement aujourd’hui, toutes les Communes sont dans le viseur. D’où cette question : n’est-il pas temps de mutualiser les moyens de lutte ? Et le fédéralisme n’est-il pas un frein, dans la lutte contre la cybercriminalité ?
Un danger permanent
Imaginez que vous ayez des dettes, que vous soyez tombé à l’aide sociale ou votre enfant ait dû recourir aux services socio-pédagogiques. Souhaiteriez-vous que cela devienne public ? que ces informations soient diffusées sur le darknet ? que votre vie privée fasse l’objet des conversations à l’épicerie de votre village ?
On le sait, le vol des données lors de cyberattaques peut porter gravement atteinte à la réputation de certaines personnes et détruire durablement la confiance entre population et l’administration.
La Confédération a publié un guide, à l’attention des communes, dans le cadre de sa «Stratégie nationale de protection de la Suisse contre les cyber risques 2018–2022». Le document donne des recommandations concrètes sur la manière de se protéger de la cybercriminalité, le principe de base étant que l’attaquant a toujours l’avantage. Être conscient des dangers est déjà le début de la solution, car les méthodes des cybercriminels sont désormais bien connues. Les pirates, dans la plupart des cas, incitent un employé communal à ouvrir une pièce jointe à un courriel, à cliquer sur un lien, à indiquer des données personnelles, telles que mots de passe, ou à effectuer un versement.
Que ce soit par le Rançongiciel, ces logiciels malveillants qui sont envoyés en grand nombre, souvent par courriel, par les Chevaux de Troie e-Banking, ces programmes permettant aux pirates d’avoir accès aux comptes e-Banking ou par l’hameçonnage, les modes opératoires des criminels du net se sont professionnalisés et sont aujourd’hui très au point.
Comment se protéger ?
La Confédération recommande aux Communes de nommer, au sein de leur administration un ou une responsable des différentes tâches concernant la sécurité des systèmes informatiques. Une bonne stratégie contre les cyberattaques commence avant tout par des processus bien définis à l’avance et bien rodés. Il est également impératif de faire un inventaire complet des données sensibles à protéger en priorité. La sensibilisation du personnel aux questions de cybersécurité est tout aussi central. Enfin, il est conseillé de procéder à des mises à jour de sécurité. Un vieux logiciel est une porte d’entrée prisée par les logiciels malveillants.
Comment rendre ces coûts acceptables : Mutualiser les moyens
Les conseils par le guide fédéral sont précieux mais, en matière de lutte contre la cybercriminalité comme en toute chose, la Suisse privilégie le fédéralisme. En clair, les cantons et les communes doivent se charger d’assurer leur propre sécurité. On peut se demander si l’ampleur de la menace ne nécessite pas un pilotage différent, un pilotage d’en-haut.
Après tout la Confédération et les cantons investissent des moyens considérables pour assurer la sécurité et l’intégrité physique de la population. Pourquoi n’en feraient-ils pas autant pour leur sécurité numérique, qui est aujourd’hui un enjeu majeur ?
Est-ce que toutes les communes de ce pays ont les moyens d’employer des professionnels de la sécurité ?
En attendant, la première étape pourrait être une mutualisation des moyens du côté des petites communes surtout. Il en va des collectivités publiques comme des PME : les plus grandes s’en sortent et peuvent se payer des équipes de sécurité internes. Pour les plus petites en revanche, les dépenses sont difficiles à assumer, et ce sont elles qui aujourd’hui, courent les plus grands risques. D’où la nécessité de mutualiser les moyens, pour permettre une véritable évaluation en matière de sécurité, étape indispensable avant toute décision d’investissement.
Le groupe Elca, très actif dans la lutte contre la cybercriminalité, a mis au point une méthodologie spécialement destiné aux petites organisations. Celle-ci permet d’établir en quelques heures une évaluation de l’état de défense par des professionnels. Une sorte d’état des lieux.
Il est temps que la Suisse engage tous les moyens pour tenter de mettre fin au Far West numérique. Ceci passe par une collaboration plus étroite entre les institutions publiques et l’économie privée, qui ne cesse de se réinventer et d’innover dans les techniques de défense.
