Les cantons prennent le lead en matière de cybersécurité

Les communes à qui des données sensibles ont été dérobées peinent à en évoquer le souvenir. En 2021, celle de Rolle (VD) en a été victime. Les contenus d’une soixantaine de boîtes e-mail avaient été vidés, puis parachutés sur le darknet pour être destinés à des personnes malveillantes pour les monnayer. Numéros AVS, carnets de notes d’élèves, rapports d’évaluation du personnel de la commune. Les autorités, qui avaient refusé de négocier avec les hackers réclamant une rançon, avaient dit avoir sous-estimé l’attaque. La population l’avait apprise via les médias. Depuis, des directives ont été introduites pour réduire par exemple la quantité de données conservées. Mais la commune mise avant tout sur la discrétion. «Pour des raisons de sécurité informatique, nous ne communiquons plus sur ce qui est mis en œuvre en termes de matériel et/ou de ressources humaines, pour sécuriser nos installations», nous a-t-elle déclaré.

Préposée à la protection des données dans le canton de Vaud (APDI) et chargée de surveiller l’application de la loi cantonale s’y référant, Cécile Kerboas indique qu’une juriste de son service avait été dépêchée à Rolle pour des procédures d’analyse des données publiées sur le darknet. «A la demande des communes, l’Autorité de protection des données prodigue des conseils et offre un appui», ajoute-t-elle. Régie par la convention pour la cybersécurité signée en juillet 2023 entre le canton et les communes, une force d’intervention, la CSIRT - pour Computer Security Incident Response Team -, a été activée depuis janvier dernier pour épauler les communes en cas d’attaques. Ces experts peuvent faire appel, selon la gravité des affaires, à des agents en cybercriminalité de la police cantonale, voire à des spécialistes en gestion de crise de l’état-major du canton. Objectif: assurer un retour à la normale maîtrisé et préserver les traces numériques nécessaires à la justice. Si un événement très grave survenait, la CSIRT coordonnerait les actions et forces en présence pour que des communes puissent prendre au plus vite les meilleures décisions.

Juridiquement pourtant, les communes vaudoises ne sont pas tenues de signaler ces vols plus haut. «Une obligation d’annonce à notre autorité devrait cependant être prévue dans la future loi sur la protection des données personnelles», note Cécile Kerboas. Depuis janvier, deux annonces ont été signalées. Huit en 2023. «Il n’est pas certain non plus que nous ayons une visibilité complète de ce qui se passe sur le terrain», nuance-t-elle, observant aussi des «erreurs» provenant de responsables communaux ou de sous-traitants qui placent des données en open access alors qu’elles auraient dû restées à l’interne

Le canton du Jura, qui compte 70% de sa population raccordée au guichet virtuel de l’administration, peaufine également sa stratégie pour rendre ses communes davantage conscientes des dangers. Même si le canton a été jusqu’ici plutôt épargné par la cybercriminalité, un processus coordonné d’intervention est aujourd’hui à l’étude. Les communes ont dû répondre ce printemps à un questionnaire sur leurs besoins en protection. «Ceci afin d’établir une cartographie cantonale et participer à des ateliers», relève Christophe Meusy, responsable informatique de la commune de Porrentruy. «Le but est d’apporter des réponses globales sans sous-estimer les risques et économiser sur les postes», analyse-t-il.

Les lignes bougent aussi dans le canton de Neuchâtel où trois postes supplémentaires dédiés à la cybersécurité ont été budgétisés. «Une dizaine de personnes travaillent pour ce secteur», confirme Hugo Sobrino, responsable de la sécurité des systèmes d’information du canton. Assurer une veille du parc 24 heures sur 24 et 7 jours sur 7 porte ses fruits. Aucune perturbation des opérations n’a été enregistrée ces derniers mois. La surveillance dont bénéficient les clients du service informatique cantonal, dont les communes, est éprouvée par des tests réguliers de pénétration. Un prestataire en cybersécurité basé en Suisse a été choisi pour ces veilles. En cas d’incident, une cellule de crise travaillera de concert avec les communes visées.

Pour prévenir toute attaque, les communes sont invitées à suivre aussi des cours de cyberhygiène, des programmes éducatifs pour maîtriser l’outil numérique. C’est le cas à Neuchâtel pour «forger la résilience» des personnels. Idem dans le Jura où des ateliers doivent renforcer «la conscience collective». Des formations à la demande des collectivités sont également prodiguées dans le canton de Vaud.