Modifié

Un label pour prémunir les communes suisses des piratages informatiques

La cyberattaque de Rolle relance l'intérêt des pouvoirs publics pour d'avantage de sécurité informatique.
La cyberattaque de Rolle relance l'intérêt des pouvoirs publics pour d'avantage de sécurité informatique. / 19h30 / 2 min. / le 30 août 2021
La cyberattaque ayant visé Rolle (VD) le 30 mai dernier a mis en lumière les failles de sécurité dans les réseaux informatiques communaux. Il existe pourtant un label de cybersécurité en Suisse, que la Confédération cherche à promouvoir.

Des solutions existent pour mieux protéger les données des citoyens et des citoyennes des communes suisses. Depuis deux ans, des experts en cybersécurité testent les vulnérabilités informatiques des communes en les attaquant à la façon des pirates, donnant ensuite accès à un label de cybersécurité.

"On se met à la place d’un acteur malveillant pour voir quelles sont les vulnérabilités, et quel mal pourrait être fait à partir des failles qui ont été découvertes", explique Nicolas Frey, expert en sécurité au sein du label CyberSafe.

Les failles se détectent en analysant le réseau, mais aussi en testant les failles humaines, via une campagne de phishing. Des e-mails frauduleux, contenant des fichiers ou des liens piégés, sont ainsi envoyés aux employés et aux employées des communes, pour tester leur réaction.

Rolle, la prise de conscience

Suite aux révélations sur le piratage qui a frappé la commune de Rolle, une dizaine de communes ont pris contact avec le label CyberSafe. Et son promoteur Christophe Hauert accueille cette nouvelle avec une pointe d'ironie.

La gravité de la cyberattaque de la commune de Rolle sous-estimée par les autorités

"Rolle a fait un travail plus efficace que tout notre département marketing en terme de prise de conscience", sourit-il, saluant le fait que ce piratage ait permis "de mettre le sujet de la cybersécurité pour les communes sur la table".

>> L'interview de Christophe Hauert lundi soir dans Forum :

Christophe Hauert, secrétaire général de Cyber Safe. [RTS]RTS
Les données sensibles piratées à Rolle toujours disponibles sur le darknet: interview de Christophe Hauert / Forum / 5 min. / le 30 août 2021

"On ne se rendait pas compte"

Dans le canton de Vaud, Bussigny est la première commune à avoir accepté de se prêter à cet exercice donnant droit au label CyberSafe. Et les failles révélées ont surpris tout le monde.

"Sincèrement, on pensait que les choses étaient cloisonnées", explique Pierre-François Charmillot, secrétaire municipal de Bussigny, dans le 19h30. "On ne se rendait pas compte qu'on pouvait acquérir des données fiscales ou des données sur les intérêts privés de nos habitants", concède-t-il.

Soutien fédéral

La syndique de Bussigny Claudine Wyssa préside également l'Union des communes vaudoises, à travers laquelle elle soutient ce label depuis son lancement. Face aux attaques informatiques de plus en plus nombreuses ciblant des acteurs privés, elle ne s'étonne pas que les administrations communales en soient aussi victimes.

Le label est déjà soutenu financièrement par la Confédération dans le cadre d'un projet pilote mené dans une quinzaine de communes en Suisse.

Claude-Olivier Volluz/jop

Publié Modifié

Appel à la prudence de la commune de Rolle

La municipalité de Rolle appelle la population à la plus grande vigilance envers toute sollicitation suspecte après la cyberattaque dont a été victime la commune le 29 mai. Les experts ont récolté toutes les données découvertes à ce jour sur le darknet. Le volume piraté représente environ 1,6% du total des données de la commune.

La task force mise en place se réunit tous les jours depuis le 26 août, a indiqué dimanche la municipalité dans un communiqué. Avec l'aide de l'Etat de Vaud et d'experts en cybersécurité, sa première mission est d'analyser les données volées afin de pouvoir informer personnellement les citoyens concernés.

Le volume de données piraté représente environ 32 Go, soit 1,6% de la quantité totale de données que possède la commune, dont 64 boîtes emails. La deuxième étape de l'analyse doit permettre d'indexer les données selon leur niveau de sensibilité afin de pouvoir indiquer quels habitants ou entités sont directement concernés.

Ce travail est complexe, écrit la commune. Il est en outre impossible d'effacer les données mises à disposition sur le darknet.