« Ne vous demandez pas si vous allez être attaqué, mais quand vous allez être attaqué ». C’est le message qu’ont martelé le général Marc Boget, directeur du pôle stratégie digitale et technologique du cabinet du Directeur Général de la Gendarmerie nationale depuis le 1er août et le président de l’Association des Maires de France de Côte-d’Or, Ludovic Rochette à une soixantaine de maires présents à la conférence Cybersécurité dans l’Hôtel de Région à Dijon. L’enjeu de cet échange : rappeler aux maires des petites communes que la cybercriminalité n’est pas réservée ni aux grandes communes ou au grandes entreprises : « On doit arrêter de considérer que le monde numérique doit avoir des règles différentes du monde réel. Ce n’est pas un espace sans règles, anarchique » explique Patrick Molinoz, Président de l’ARNia - Agence Régionale du Numérique et de l'intelligence artificielle - et vice-président de la Région Bourgogne-Franche-Comté : « Dans la plupart de nos campagnes, on ne ferme pas nos voitures à clef. Dans le numérique, c’est un monde sans distances, sans police, sans gendarmes, sans règles et ce n’est pas aussi simple que de donner un coup de clé ».

Les collectivités particulièrement exposées.

« Je suis maire depuis le siècle dernier, explique Ludovic Rochette. Le monde a changé. Les mairies sont devenues des lieux sensibles ». Parmi les attaques courantes, celle du faux Relevé d’identité bancaire : un fournisseur prétend changer de banque, envoie un RIB à la mairie pour encaisser une facture. Autre attaque courante : le rançonnage : « Un hacker va bloquer l’accès à l’informatique et réclamer une rançon de 7 ou 8 000 euros » explique le général Marc Boget citant de nombreuses autres pratiques : « La cybercriminalité représente 6 à 7000 milliards à international. 2000 milliards pour la France et génère 1500 milliards de revenus pour les escrocs. Autant que la drogue ».

L’IA alliée redoutable de la cybercriminalité

En marge des cybercriminels « idéologiques » qui veulent faire passer un message, le général Boget met en garde contre les escrocs qui veulent de l’argent : « On a affaire à des escrocs qui emploient tous les leviers : faux RIB, (notaires, fournisseurs, prestataires…), fausse romance (escroquerie sentimentale), chantage, extorsion à la vidéo intime, sextorsion, piratage des réseaux sociaux d’élus ». Nouvelle méthode et redoutable récemment arrivée, l’escroquerie au président. L’idée est simple : une secrétaire de mairie, un subordonné reçoit un appel visio de son dirigeant, de son supérieur ou même de son maire pour ordonner un virement. Jusque-là rien d’anormal sauf que la voix et l’image sont générées par l’Intelligence artificielle.

Selon le Général Boget : « Une fois le paiement effectué, on dispose de 4 jours maximum pour réagir. Beaucoup de comptes transitent par Hong-Kong car là-bas on retire une mallette en liquide et on la dépose dans la banque de l’autre côté de la rue sans aucun justificatif. La trace numérique est rompue et on ne peut plus retrouver l’argent ». L’enjeu est de taille quand on sait qu’il faut environ 20 minutes à des cybercriminels pour chiffre et donc bloquer 2000 serveurs.

Les méthodes artisanales toujours à la mode

La cybercriminalité rappelle le général Boget, ce n’est pas que des grosses rançons : « La plupart des escroqueries sont des petites escroqueries ». Parmi elles, la très connue fausse convocation de la gendarmerie pour avoir visionné des sites pédophiles : « Nous sommes pragmatiques dans la gendarmerie. SI on doit parler, on arrive chez vous à six heures du matin ». Une méthode qui semble malgré tout fonctionner : « Nous recevons une quinzaine de justificatifs de paiement par semaine. Alors évidemment, quand quelqu’un est capable de payer 8000 euros pour ce type de chantage on s’intéresse à lui ». Mais ajoute le Général Boget : « la plupart sont des gens âgés qui paniquent et paient pour être tranquilles ». Une autre méthode redoutable : le faux service fraude : un hacker tente d’émettre une trentaine de virements d’un compte en banque un vendredi. Le mardi, la banque appelle pour vérifier l’ordre des virements. Le client qui nie avoir effectué ces virements raccroche et reçoit un appel du service fraude qui, pour sécuriser le compte, va, durant une heure, réaliser plusieurs opérations et faire venir un coursier pour récupérer la carte bleue. Jusque-là rien d’anormal sauf que le comte est vidé : « La seule chose vraie, c’est l’appel de la banque qui va alerter son client. Les escrocs le savent. Et plusieurs heures après, ils appellent le même client ».

Quels moyens pour lutter ?

Pour le général Marc Boget : « Il n’existe pas de sécurité 100% fiable sauf à tout écrire sur du papier ». Mais pour se protéger des cyber-attaques, le président de l’AMF21, le directeur du CRST BFC ou le directeur du pôle stratégique digitale et technologique du cabinet du DGGN ont le même discours : « Ne vous demandez pas si vous allez être attaqués. Vous le serez un jour. Et une attaque, c’est un tsunami ». Contre cette fatalité : « Il faut se préparer ». Se préparer, c’est établir un plan de crise : « ça peut paraître curieux dans une mairie de 300 habitants, mais ce n’est pas quand vous êtes attaqués que vous devez vous poser les questions de savoir comment vous agissez ».

Le plan de crise, c’est anticiper l’attaque :

• Quel moyen d’échange avec la cellule crise en cas de blocage total : téléphone fixe, annuaire papier.
• Quel message adresser aux collaborateurs, à la population ?
• Qui appeler ?
• Comment joindre les autorités ?
• Et s’entrainer : « Quand on fait un faux mail de phishing dans une entreprise, environ 40% des personnes vont donner toutes les informations. Avec de l’entrainement, on descend à 3/4% »

Mais c’est aussi sécuriser ses réseaux : antivirus, archivage sur des supports externes, sauvegarde sur des supports non connectés : « Les criminels vont au plus simple. On estime qu’une collectivité doit consacrer 5% de son enveloppe technologie à la sécurité. Une cyberattaque c’est une scène de crime, ajoute Marc Boget. Dès l’appel j’envoie des spécialistes en indices numériques et des négociateurs»

Un partenariat pour la sensibilisation, la prévention et la formation

A l’issue de la Conférence l’Agence Régionale du Numérique et de l'intelligence artificielle présidée par Patrick MOLINOZ et la Gendarmerie Nationale, représentée par le Général Marc BOGET ont signé une convention de partenariat afin de s'engager sur une démarche commune et d'associer leurs compétences pour valoriser leurs actions respectives de prévention et de sensibilisation. La convention engage également l’ARNia à la formation des gendarmes de Bourgogne-Franche-Comté qui a démarré sans attendre il y a plusieurs mois. 45 gendarmes, qualifiés de référents cybersécurité, ont bénéficié de cette formation expliquant les grands principes de sécurisation des équipements informatiques afin d’améliorer leur travail quotidien d’enquêteur. D’autres gendarmes devraient être formés pendant toute la durée de la convention (3 ans).