Aix-les-Bains : tirer les leçons d’une cyber-attaque

Le 13 mars 2022, la ville d’Aix-les-Bains s’est retrouvée largement paralysée. En cause : une cyber-attaque sur l’ensemble de ses systèmes, de ses serveurs aux postes de travail. Cette crise a confirmé les fragilités qui avait été repérées par le nouveau DSI de la ville, François Fumu-Tamuzo. L’incident était une source d’inquiétude particulièrement aiguë alors que la ville devait organiser le scrutin de l’élection présidentielle, les 10 et 24 avril 2022, avec plusieurs obligations : gérer la liste électorale, transmettre les résultats à la préfecture au fil de la journée. A cet événement particulier s’ajoutaient les contraintes habituelles : la réalisation des bulletins de paye (avant le 19 du mois), les paiements des factures liées aux marchés publics, les services tels que l’Etat-Civil, les cantines, les bibliothèques…

Située en Savoie, la ville d’Aix-les-Bains appartient certes à une communauté de communes mais la DSI ne fait partie des fonctions mutualisées. A l’inverse, l’Office de Tourisme est hébergé sur les infrastructures de la ville. Au départ, l’IT de la ville est des plus basiques. Arrivé en Août 2021, François Fumu-Tamuzo a succédé à un DSI de transition. Il a rapidement réalisé un audit de l’existant qui l’a convaincu de la nécessité de fortement investir sur le SI de la ville tant un important retard avait été accumulé au fil des années.

Perte de maîtrise progressive et vulnérabilité croissante

Sur le plan des infrastructures, la ville ne disposait que d’une salle serveurs avec un réseau en étoile, sans redondance. Des serveurs virtuels hébergés sur les serveurs physiques abritaient les applications et les données. François Fumu-Tamuzo note : « pour des raisons d’économies, tous les outils de sauvegarde et de supervision étaient open-source, l’anti-virus des postes de travail étant DrWeb (choisi en raison de son faible coût), la bureautique avec Libre Office et le collaboratif sous Zimbra. Les postes de travail étaient hétérogènes, utilisant diverses versions de Windows, de la 7 à la 10. Mais, entre mai 2021 et juin 2022, cinq techniciens maîtrisant cet environnement sont progressivement partis. » Cette perte d’expertise accroissait la vulnérabilité de la ville.

L’analyse des risques encourus a été réalisée par le DSI en utilisant plusieurs approches méthodologiques : la méthode AMDEC (Analyse des Modes de Défaillance, de leurs Effets et de leur Criticité), la matrice de risques des projets, le tableau de bord proposé par l’ANSSI et le tableau de bord créé en interne à partir de la méthodologie du Cigref en l’adaptant au contexte des collectivités locales. A partir de cette analyse, François Fumu-Tamuzo a conçu un plan pluri-annuel d’investissement sur trois ans.

Une attaque peu sophistiquée

Le 13 mars 2022, les utilisateurs du SI ont subi un très fort ralentissement de tous les serveurs et terminaux. « Nous avons rapidement compris que l’attaque était liée à l’installation sur nos systèmes d’un virus particulier, un crypto-mineur, qui consommait toute la ressource disponible pour miner des crypto-actifs » indique François Fumu-Tamuzo. Un calcul de bulletin de paie, par exemple, était passé de quelques minutes à près d’une demi-heure. L’origine de la pénétration était le serveur virtuel utilisé par l’Office de Tourisme. Puis l’attaque s’est propagée aux autres serveurs et enfin aux postes de travail. L’obsolescence technique était la première cause du succès de l’attaque.

Aussitôt, une cellule de crise s’est montée et la ville a communiqué auprès de la presse pour expliquer la situation. Cet effort de transparence de l’exécutif peut être salué, toutes les victimes n’ayant malheureusement pas le même réflexe, même s’il était nécessaire pour rassurer sur la crise autant en interne qu’auprès des citoyens. La cellule de crise, outre le DSI, comprenait le maire, le maire-adjoint, le directeur général des services et son adjoint, un représentant du service juridique, le chef de la police municipale et le directeur des services techniques. Ce dernier était directement concerné à cause du blocage de nombreuses transactions impactant, par exemple, les cartes de carburant utilisées pour les véhicules de la ville.

Rétablir la situation

Pour remplacer l’anti-virus DrWeb, la ville venait justement de contracter avec F-Secure. Cet éditeur avait repéré le crypto-mineur, qui semble avoir été créé en février 2022, mais il ne disposait pas encore de la parade. Face à la situation, la première mesure prise a été d’isoler le SI : tous les liens vers l’extérieur ont été coupés. De ce fait, le crypto-minage ne s’opérait plus au profit du pirate. L’Office de Tourisme a récupéré son propre système qu’il a traité avec d’autres prestataires.

La ville a eu recours au soutien de l’ANSSI qui a recommandé Wavestone pour une intervention sur place. Les experts du prestataire sont restés 48 heures et ont achevé le diagnostic et dressé le plan de remise en marche que la DSI d’Aix-les-Bains a suivi. Les investigations ont été totalement terminées cinq jours après l’attaque, le 18 mars. Le nettoyage du SI de la ville a alors débuté grâce à ce soutien et à celui de F-Secure. Les scripts réalisés ont permis le nettoyage des serveurs puis des postes de travail. Les terminaux des collaborateurs en télétravail ont dû être ramenés par ceux-ci : les liaisons restaient coupées.

De l’urgence au retour à la normale

En attendant le retour à la normale, plusieurs mesures d’urgence ont été prises. Ainsi, en plan B, il a été envisagé que la paie soit réalisée en reconduisant celle du mois précédent, avant d’éventuelles régularisations. Les liaisons avec l’extérieur étant coupées, la ville ne recevait plus de factures via le portail d’État Chorus-Pro. Les fournisseurs ont donc dû envoyer leurs factures en mode papier afin qu’elles soient validées manuellement. D’une manière général, le fonctionnement dégradé a nécessité un retour au papier dans de multiples procédures. Et, quand il devenait nécessaire d’avoir une connexion, par exemple pour ordonner des paiements, la DSI ouvrait juste le port et la connexion nécessaires, en étant en relation avec le support du service contacté pour, d’une part, surveiller la transmission et, d’autre part, pouvoir de nouveau isoler le SI dès la transmission achevée. La paie a pu, de la sorte, être réalisée presque normalement sans recours au plan B. 

La reprise presque normale a été effective le 28 juin, le retour à une normalité complète le 12 juillet 2022, quatre mois après l’attaque. « Nous avons eu de la chance car, sur le plan de la férocité, l’attaque n’était pas très forte : nos données n’ont pas été chiffrées par exemple » reconnaît François Fumu-Tamuzo. Mais cette attaque a permis d’obtenir le vote d’investissements importants. Outre les outils de F-Secure, notamment un EDR, et la mise en place d’une sauvegarde automatisée avec Commvault, une refonte totale a été décidée pour un budget total de 800 000 euros. Les marchés nécessaires sont en cours d’attribution pour définir une infrastructure homogène, la création d’une salle de secours avec PRA, une redondance du coeur de réseau avec boucle de connexion… Bref, l’alerte, finalement moins grave qu’elle n’aurait pu être, a permis une véritable remise à niveau du SI municipal.

Réfléchir avec ses pairs, échanger avec un panel de fournisseurs et de prestataires et sortir du quotidien : pensez au prochain Hacktiv’Summit, du Mardi 27 février au mercredi 28 février 2024. Renseignements et inscriptions.