Logo
Cybersoucis pour les communes
Stives Morand, préfet, et Pierre Dessemontet, syndic d’Yverdon-les-Bains, au premier rang et derrière, les syndics des 70 communes du Nord vaudois (à quelques exceptions près) réunis.

Cybersoucis pour les communes

27 septembre 2024 | Texte: Maude Benoit | Photos: Michel Duperrex
Edition N°3797

Protection des données, cybersécurité, prévention et formation sont les mots qui ont marqué l’Assemblée des syndics du Jura – Nord vaudois, hier matin à l’Aula Magna du château d’Yverdon.

Pour la seconde fois de l’année, l’Assemblée des syndics du Jura – Nord vaudois s’est tenue hier à l’Aula Magna du château d’Yverdon-les-Bains, histoire de discuter des enjeux communs rencontrés par les communes de la région. Au programme de la matinée, des présentations de l’Association vaudoise des contrôles des habitants et bureaux des étrangers (AVDCH), de l’Association pour la santé, la prévention et le maintien à domicile (ASPMAD), du Département général du numérique et des systèmes d’information (DGNSI), du conseiller d’Etat Frédéric Borloz sur l’Ecole vaudoise et, pour finir – juste à temps pour l’apéro – quelques communications de l’ADNV (Association pour le développement du Nord vaudois).

Pour encadrer la session, les deux préfets du district, Fabrice De Icco et Stives Morand, étaient présents. À l’issue de cette matinée chargée, une problématique rencontrée par la plupart des communes semble sortir du lot: celui de la cybersécurité. Un sujet plus que d’actualité, comme en témoigne la récente cyberattaque de l’État de Vaud de mardi dernier.

Cyber-quoi?

Comme l’a bien souligné Kilian Cuche, municipal et intervenant au nom de la commune de Pomy, qui a connu une telle attaque, on se trouve parfois face à un problème de définition. «Le cyberespace est une infrastructure qui permet de créer, échanger, enregistrer, communiquer des données informatiques entre plusieurs entités. Le cœur du cyberespace, ce sont les données informatiques. Ces données, à l’échelle des communes, peuvent être des données de comptabilité, des courriers, des procès-verbaux, etc.» explique-t-il. Il s’agit donc de données sensibles qui sont nécessaires au bon fonctionnement de l’autorité communale. Ainsi, il est de la responsabilité des communes de s’assurer que leurs données présentes dans le cyberespace soient protégées.

Les types d’attaques à craindre

Ces données doivent impérativement être sécurisées sur trois plans: la confidentialité, l’intégrité et la disponibilité. Au niveau communal, ces trois axes peuvent être attaqués. Ainsi, quand un malfrat porte atteinte à la confidentialité des données, on craint une fuite de celles-ci sur le darknet et/ou une pression exercée sur la Commune pour qu’elle paie une rançon. Il s’agit d’ailleurs de l’infraction la plus fréquente. De son côté, l’attaque à l’intégrité des données repose sur leur modification à l’insu de la Commune. Enfin, une offensive contre la disponibilité des données empêche les autorités communales d’y avoir accès. Si l’on prend le très récent cas de l’Etat de Vaud, les services informatiques ont été surchargés et n’étaient plus accessibles. S’assurer de la cybersécurité de son système informatique, c’est donc renforcer la protection de ces trois axes.

Les risques de cyberattaques sont encore multipliés par trois facteurs: la centralisation des données dans des clouds (toutes les données sont stockées dans un serveur centralisé et à distance), la connectivité de tous les objets (comme la digitalisation des infrastructures, tel que le réseau d’eau dirigeable à distance) et l’intelligence artificielle, qui peut faciliter l’action des malfrats (ChatGPT peut, par exemple, générer des mails type de phishing,  c’est-à-dire d’hameçonnage informatique). Les criminels ont donc accès à une surface d’attaque plus grande.

Mieux vaut prévenir que guérir

À l’échelle de la Suisse, le niveau de cybersécurité est jugé catastrophique. Les communes ne sont donc pas les seuls cancres du fond de la classe; tout le système helvétique est confronté à ces problématiques. Cela ne veut toutefois pas dire que les communes ne peuvent pas prendre les devants pour renforcer leur cybersécurité. Il est possible de prendre des prédispositions en amont, afin qu’en cas d’attaque, les communes soient prêtes. En voici quelques-unes:

Il s’agit de faire un état des lieux de la situation informatique de la commune. Une fois les vulnérabilités du système détectées, il faut évidemment les résoudre avec des anti-virus, des pare-feux et/ou une alerte centralisée. Il faut aussi s’assurer de posséder un processus de sauvegarde et de restauration des données performant. Il est utile de tenir un journal des contrôles afin de garantir un suivi des activités. Dans certains cas, il peut être nécessaire de vérifier la gestion des réseaux wifi, mais également des droits d’accès des administrateurs. Enfin, les serveurs doivent éventuellement être protégés physiquement.

Un élément qu’il ne faut absolument pas sous-estimer est l’accompagnement et la formation informatique des collaborateurs qui se trouvent souvent démunis face aux changements informatiques rapides. Il est essentiel de prendre le temps de former les collaborateurs communaux pour avoir un front uni et homogène face aux cyberattaques.

Il est également nécessaire de préparer un plan de continuité. Ce terme désigne un document papier – et oui, si vous ne pouvez avoir accès au système informatique, à cause d’une attaque ou d’une panne d’électricité, un exemplaire physique est obligatoire – indiquant la procédure à suivre et tous les services qui doivent être absolument maintenus en cas de cyberattaques. C’est une réflexion qui doit avoir lieu en amont.

Pour le cas de la Commune de Pomy, la mise en place de ces mesures préventives a nécessité environ 5000 francs, cinquante heures de travail pour la mise en place et une heure hebdomadaire pour le suivi. Des dispositions qui sont, sommes toutes, relativement accessibles pour la plupart des communes.

En cas d’attaque

Si, malgré tout, après avoir pris toutes ces dispositions, une commune subit une cyberattaque, que doit-elle faire? Pour répondre à ces questions,  Nicolas Patthey et Fiona Ponzo, du DGNSI, ont fait les recommandations suivantes: en cas de cyberattaque, l’autorité compétente de la Commune doit appeler le numéro d’urgence 117. La police contacte ensuite l’unité cybercrime pour qu’elle intervienne et qu’une cellule de crise soit mise en place, afin de résoudre la situation.

Cette procédure s’inscrit dans une convention mise en place par le DGNSI et les organisations faîtières des communes après la constatation de plusieurs cyberattaques depuis 2020.

Prendre le virage vers la cyberadministration avec toutes les clés en mains

Lors de la présentation sur le contrôle des habitants et le bureau des étrangers, il a été expliqué que les communes sont responsables des données de leurs habitants. Encore plus, les préposés au contrôle des habitants sont responsables des données et peuvent en interdire la consultation au syndic si son motif n’est pas légitime.

Lors de cette présentation, l’une des intervenantes, Nadine Cossy, présidente de l’AVDCH, a mentionné la migration du contrôle des habitants vers la cyberadministration. Ainsi, les habitants et nouveaux habitants devraient avoir accès aux services de manière informatique, depuis chez eux. Il s’agit alors, pour les communes, de faire attention à ce que ce service numérique soit protégé. Il ne faut pas confondre ici sécurité du système informatique et protection des données qui s’inscrivent dans des cadres légaux différents. Toutefois, l’un va difficilement sans l’autre. Ainsi, Kilian Cuche recommande aux communes qui s’intéressent au passage à la cyberadministration et/ou désirent effectuer un état des lieux de leur protection informatique de réaliser ces deux actions de concert. On parle ici de SecureByDesign, c’est à dire que le risque et la sécurité d’un projet sont intégrés lors de sa conception.

Si on reprend quelques concepts présentés précédemment, il sera également important de consigner dans le plan de continuité une partie des mesures à prendre en cas d’arrêt du service numérique du contrôle des habitants et de s’assurer qu’une partie de ce service puisse toujours être opérationnel en cas de cyberattaque.

Les «gros dossiers» de la ville d’Yverdon-les-Bains

Pour ouvrir la séance, Pierre Dessemontet, le syndic d’Yverdon-les-Bains, ville hôte de l’Assemblée des syndics pour cette édition, a présenté les trois gros dossiers qui préoccupent la Commune. Le premier: la péréquation intercommunale qui doit être revue avant 2025. Le deuxième dossier concerne le parking de la place d’Armes, projet bientôt centenaire, dont deux préavis attendent le verdict du Conseil communal. Enfin, le troisième sujet, que le syndic n’a pas pu éviter, est bien sûr la situation du deal de rue à Yverdon-les-Bains. Si les autorités font tout ce qui est en leur pouvoir pour enrayer le phénomène, il est temps, pour le syndic de la Cité Thermale, que le Canton et la Confédération interviennent. Il note également que la consommation de drogue dite «festive» se répand dans les campagnes et touche de plus en plus de jeunes. Le préfet Fabrice De Icco a d’ailleurs soutenu Pierre Dessemontet en demandant aux communes de faire de le prévention dans leur village, car les consommateurs ne viennent pas tous d’Yverdon-les-Bains, mais aussi des alentours.

Résumé de la politique de confidentialité

La Région S.A.s'engage à protéger votre vie privée. Contactez-nous si vous avez des questions ou des problèmes concernant l'utilisation de vos données personnelles et nous serons heureux de vous aider.
En utilisant ce site et / ou nos services, vous acceptez le traitement de vos données personnelles tel que décrit dans notre politique de confidentialité.

En savoir plus