Bussigny vient d’obtenir un label de sécurité informatique, une première suisse. Des communes vaudoises ont déjà été rançonnées.

La Commune de Bussigny est la première commune de Suisse à obtenir un label de cybersécurité après s’être soumise à un audit. Initiée par l’Union des communes vaudoises, la démarche a été menée par la syndique Claudine Wyssa, également présidente de l’UCV, et le secrétaire municipal Pierre-François Charmillot.

Les attaques informatiques ne concernent pas que les gouvernements, les entreprises et les quidams. Les petites communes ne sont pas épargnées, y compris dans le canton de Vaud, mais leur prise de conscience ne fait que commencer.

En début d’année, Bussigny – près de 10’000 habitants – a fait œuvre de pionnière en devenant la première commune de Suisse à obtenir un label de cybersécurité. Elle a en effet participé à un projet pilote de l’Union des communes vaudoises (UCV) en collaboration avec l’association Suisse pour le label de Cybersécurité (Cyber Safe), qui décerne la certification au terme d’un processus d’audit et de test. L’idée fait déjà des émules, puisque la Confédération mène désormais la même démarche à l’échelle Suisse.

La crainte du rançongiciel

«La société avance de plus en plus vers la numérisation, donc les risques augmentent», estime Claudine Wyssa, à la fois syndique de Bussigny et présidente de l’UCV. L’enjeu est particulier pour les communes, car elles abritent des données personnelles et parfois fiscales de leurs administrés. La syndique relève en particulier la crainte des rançongiciels, des programmes qui permettent à des pirates de crypter les données d’une organisation et d’extorquer de l’argent pour lever la prise en otage.

«Dans le canton de Vaud, j’ai connaissance d’un cas qui concerne une association de communes. Ils ont dû payer.» Le groupement de communes en question, qui a été ciblé il y a deux ou trois ans, n’a pas voulu témoigner ou livrer le montant de la rançon.

Ces cyberattaques sont-elles fréquentes? En Suisse, le Centre national pour la cybersécurité de la Confédération (NCSC) reçoit une dizaine de signalements par année de communes victimes de piratage informatique. «Ce n’est pas beaucoup. Mais il n’y a pas d’obligation d’annoncer ce genre de cas», commente Max Klaus, responsable adjoint de la centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI au NCSC. L’expert précise que les communes visées ne communiquent pas l’impact financier de ces piratages, qui vont de l’hameçonnage au rançongiciel, et que celui-ci est souvent difficile à évaluer.

Si les données disponibles en Suisse sont peu nombreuses, aux États-Unis, une étude de l’entreprise de cybersécurité Kaspersky estime que les cyberattaques sur des institutions municipales ont augmenté de 60% entre 2018 et 2019, avec des demandes de rançon de 1 million de dollars en moyenne. En France, l’Agence nationale de la sécurité des systèmes d’information indiquait qu’en 2019, 25% des incidents qui lui étaient rapportés concernaient des communes, avec des niveaux de gravité divers.

Des failles critiques

Dans l’expérience pilote de l’UCV, il ressort que trois communes se sont portées volontaires pour tenter d’obtenir le label Cyber Safe, mais une seule y est parvenue pour le moment. «Nous avons aidé deux communes à identifier des failles de sécurité critiques, c’est-à-dire des failles qu’il est possible d’exploiter sans être un pirate chevronné», commente Christophe Hauert, secrétaire général de Cyber Safe.

Bussigny a réussi à passer toutes les étapes du processus, qui comprenait notamment un test grandeur nature de phishing, soit l’envoi d’e-mails frauduleux dans le but d’obtenir des données et des accès. «La vigilance des collaborateurs est un aspect important et dans l’ensemble, ils ont bien réagi», souligne le secrétaire municipal Pierre-François Charmillot au terme de l’expérience. Il a néanmoins fallu investir dans quelques nouveaux outils informatiques pour se mettre à niveau.

Une sécurité qui coûte

En matière de cybersécurité, en tout cas dans le canton de Vaud, les communes sont souveraines, comme dans beaucoup d’autres domaines. Mais des incitations semblent bienvenues. L’UCV a ainsi proposé à trois communes de se faire auditer pour le label Cyber safe gratuitement, alors que la démarche peut coûter entre 3000 et 10’000 francs selon la taille de la commune. Difficile de dire si d’autres communes feront la démarche avec leurs propres deniers, même si elles bénéficieront d’un rabais de 20%.

Après l’expérience vaudoise, la Confédération n’en a pas moins décidé de lancer un projet pilote similaire en partenariat avec l’association des communes suisses et en proposant également le label cyber-safe à une quinzaine de communes.

«On voit que les petites communes n’ont souvent pas le savoir-faire et les infrastructures informatiques pour protéger leurs données. Nous essayons de leur recommander des solutions, mais il est possible que pour la mise en œuvre les ressources financières peuvent être un obstacle», observe Max Klaus, du NCSC. «C’est un peu comme une assurance. Chacun évalue combien il est prêt à investir pour se protéger», illustre quant à elle Claudine Wyssa.