Villes, mairies, départements, régions … Les organisations au service des citoyens, quelque soit leur taille, sont des cibles potentielles de cyberattaques. En visant les collectivités, l’État est implicitement dans la ligne de mire des hackers.
En effet, en 2019, l’ANSSI a recensé 92 incidents de cybersécurité à l’encontre des communes et intercommunalités. En pleine expansion, 2020 a été une année de tous les records en termes de cyberattaques ciblant des collectivités. Bien que la plupart des organisations, pour des raisons juridiques, révèlent rarement les impacts financiers, il est aisé d’évaluer quels coûts engendrent ces cyberattaques.
Partie émergée : les coûts les plus connus
Le cas des Rançongiciels
Selon l’ANSSI, les coûts et dégâts causés par les rançongiciels peuvent comprendre :
Des pertes financières comme l’extorsion d’argent. Par exemple, une collectivité a été victime d’un crypto virus chiffrant des milliers de données. Le montant de la rançon ? Plus de 150 000 euros !
Les investigations informatiques et l’endommagement du parc informatique ainsi que la restauration du Service Informatique. Par exemple, la ville de Houilles (Yvelines) pour laquelle la cyberattaque en janvier 2021 a coûté 350 000 euros dans le budget de la commune (source : actu.fr).
Une perte d’exploitation ou la perturbation, voire l’interruption de l’activité de quelques jours à plusieurs semaines peuvent empêcher de fournir les services administratifs habituels pour une mairie.
A noter que des études révèlent qu’en moyenne, une organisation met environ 196 jours pour détecter un incident de sécurité, quel que soit son secteur d’activité. (source ANSSI : Ponemon Institute : 2018 Cost of a Data Breach Study).
L’atteinte à l’image et, en conséquence, une perte de confiance à l’égard de la commune victime, de l’intercommunalité ou des élus.
Certaines pertes de données et/ou l’atteinte à l’intégrité des données sensibles ou classifiées entraînent des coûts conséquents. Rappelons qu’une collectivité détient dans ses systèmes d’information des données d’état civil, d’identité ou d’identification !
A titre d’exemple, en 2020, six mois après le piratage d’une collectivité française, les hackers ont diffusé 40 Go de données de la ville, dont une base de 23 000 adresses e-mail, les noms et matricules des agents, et toutes sortes de données privées.
Ajoutons enfin les préjudices humains concernant autant les employés que les usagers : par exemple, l’impact sur les salaires des employés si l’application concernée fait partie du Système d’Information visé.
Soulignons par ailleurs les potentielles victimes collatérales en cas de déploiement du rançongiciel sur des réseaux interconnectés.
Et ce n’est que la partie émergée de l’iceberg.
Partie immergée : quels sont les coûts les moins visibles ?
Parmi ceux-ci, on peut compter les coûts liés :
à la perte de productivité lié au retour papier/crayon. Mais également au temps perdu suite à la pertes d’informations;
Surtout, il est essentiel de rappeler les coûts liés aux sanctions administratives :
La collectivité est responsable du traitement de données à caractère personnel. Elle doit garantir qu’elle a tout mis en oeuvre pour prévenir d’une cyberattaque :
- Au niveau technique (anti-virus, anti-spams …)
- Au niveau organisationnel (formations, informations …)
Dans le cas d’une cyberattaque si un manquement est imputable à la collectivité, la CNIL peut prononcer des sanctions suivantes à son encontre :
- rappel à l’ordre à l’encontre de la commune ;
- injonction de mise en conformité au RGPD, y compris sous forme d’astreinte ;
- sanction financière pouvant aller jusqu’à 20 millions d’euros d’amende, en fonction de la gravité du manquement et des circonstances de sa survenance.
Vers une réelle stratégie financière : Investir dans la cybersécurité
Le constat est probant : les impacts financiers causés par une cyberattaque s’avèrent plus considérables que les dépenses liées à la protection des systèmes d’information.
“Comme récemment Évreux, Bayonne, La Rochelle, Angers, Houilles … La question n’est plus de savoir “si” les collectivités seront la cible d’une cybermalveillance, mais “quand”.” (source : cybermalveillance.gouv.fr).
Il est urgent de se prémunir : cet argent ne devrait pas profiter aux hackers !
L’anticipation et la prévention : voilà les deux maîtres mots qui permettent aux organisations de se protéger des cyberattaques et de renforcer leur cybersécurité. La formation de vos utilisateurs permet de protéger votre organisation des risques (et coûts) liés à une cyberattaque.
Investir dans les solutions techniques et organisationnelles devient désormais urgent.
