À Angers, une cyberattaque pointe les limites du projet de ville connectée

Tout a commencé le 15 janvier au soir, lorsque le compte Twitter du maire de la ville d’Angers, Christophe Béchu, a été piraté. En parallèle une seconde attaque a ciblé le système d’information de la ville et de l’agglomération. "On a découvert le samedi matin que les logiciels de la bibliothèque ne fonctionnaient plus. L'astreinte de notre service informatique est intervenu aussitôt et a découvert que c'était une pénétration sur l'infrastructure centrale. Ils ont pris immédiatement des mesures pour couper l’ensemble des postes informatiques, des logiciels et des données pour qu’il n’y ait pas de suite à ce cryptage", explique Jean-Marc Verchère, premier adjoint au maire d’Angers.

Comme d’autres collectivités territoriales avant elle, la ville a été victime d’une attaque classique de type rancongiciel. Un cryptage des données et une demande de rançon pécuniaire de la part des hackers pour obtenir le décryptage de ses données mais sans aucune assurance d’obtenir gain de cause. Selon le premier adjoint, aucune demande de rançon ni revendications n’a été reçue à ce jour. Qu’importe car les services informatiques de la ville ont circonscrit la cyberattaque au plus vite et la ville dispose d’une sauvegarde de ses données sur un serveur externe sécurisé. La ville assure qu'aucune extraction de données n'a été identifiée à ce jour par ses experts et ceux de l'Agence nationale de sécurité des systèmes d'information.

Un coup dur pour une ville qui veut devenir la première Smart city de France

Une telle cyberatttaque montre la fragilité de nos systèmes informatiques et encore plus quand on connaît l’ambition d’Angers de devenir la première ville connectée de France. Cette ville est en train de déployer son plan de "territoire intelligent", où l'ensemble des services, de l'éclairage aux déchets, seraient pilotés par un système informatique. Cette cyberattaque met en lumière  les risques inhérents à ce type de système informatique. "Il y a un risque. On a un système d'information qui est connecté au web donc cette exposition est une menace. La deuxième problématique c'est que vous allez utiliser des objets qui présentent un risque. Ces objets connectés sont assez bon marché et peuvent présenter des vulnérabilités. Ils peuvent être exploités pour pénétrer le système d’information et accéder à des informations", alerte Driss Essayed Messaoudi, enseignant-chercheur en cybersecurité.

Un risque qui est donc bien réel et qui montre les limites du tout connecté. "Les actions de piratages informatiques sont de plus en plus élaborées et la clef, de mon point de vue, est d’utiliser l’outil informatique à proportion des services qu'il est capable de rendre mais il ne faut jamais déléguer des pans entiers de responsabilité à la seule régulation d'outils informatiques", selon Olivier Ertzcheid, enseignant-chercheur en science de l’information à l’université de Nantes.

Une attaque synonyme de défi pour Angers

Une agression qui sonne comme un défi pour la ville connectée que deviendra Angers demain. "Il ne faut pas penser qu’un territoire intelligent c’est une ultracentralisation de tout. Notre projet pour le territoire intelligent c’est de partir sur une infrastructure indépendante nouvelle. Nous avons recruté un ingénireur informaticien de la sécurité, probablement que nous ne sommes pas allés assez vite", reconnaît Jean-Marc Verchère.

Comme quoi même dans une agression, on peut y trouver du positif. Elle montre les carences et les failles d’un système, mission à la ville désormais de se prémunir d’une prochaine attaque.