Fin janvier 2021, c’est la panique lorsque les employés de la mairie de Houilles constatent qu’ils ont été victimes d’une cyberattaque. Tous les accès aux logiciels et aux fichiers sont bloqués, l’activité quotidienne est compromise. Julien Chambon, maire de la ville, nous raconte comment ils ont géré cette crise en partie avec notre service de direction informatique externalisée.
Que s’est-il passé fin janvier 2021 ?
Nous avons découvert un lundi matin que la mairie de Houilles avait subi une cyberattaque. La technique d’attaque était celle dite de « crypto-locker ». Il s’agit d’un programme qui chiffre les données, les rendant illisibles. Une « clé », que seul le pirate détient, est nécessaire afin de pouvoir les lire à nouveau. L’ensemble des données ayant été crypté, il n’était pas possible de redémarrer en l’état.
Tous les éléments nécessaires à notre fonctionnement quotidien étaient hors service : l’accès aux fichiers, notre système de messagerie… Nous ne savions pas à ce moment-là quelle était l’ampleur des dégâts.
Suite à un audit flash SI, les consignes du DSI externe de Dimoxilo ont été immédiates : plus personne ne doit ouvrir de mail ou essayer de se connecter.
Quel a été l’impact de cette cyberattaque sur votre activité ?
Aucun de nos services n’avait la capacité de travailler : plus de communication, plus de logiciels métiers, plus de listings… Tout ce qui avait été digitalisé dans notre activité quotidienne, plus rien n’était accessible : de nos PC à nos téléphones. L’administration s’arrête, tout est très calme pendant plusieurs jours.
« Une cyberattaque est une violence sourde… sauf dans le bureau de la DSI ».
omment avez-vous communiqué sur le sujet ?
Il est ensuite venu le moment de trouver le moyen d’expliquer au grand public ce qu’il se passait en interne. Ce n’était pas simple, car nous avions déjà du mal à transmettre le message à l’intérieur… Nous pouvions seulement le faire par bouche à oreilles et coups de fil. Comme imprimer un papier était compliqué, nous avons même repris le papier et le crayon dans certains services pour faire passer l’information, ce qui est assez surréaliste pour nous.
Très vite, nous avons pris le parti de faire une communication publique assez large par Facebook, car nous avions encore ces canaux de communication externes à disposition. Nous avons sorti une vidéo claire et transparente sur la cyberattaque que nous venions de subir. Nous avons explicité le fait que l’impact soit assez massif, et donc que la plupart des services publics étaient à l’arrêt.
Nous avons tenu les gens informés au fur et à mesure de l’évolution de la situation. On a réellement assumé la crise, ce qui peut être beaucoup plus difficile dans certaines entreprises. Mais c’était impératif pour nous de bien communiquer car les impacts étaient visibles pour le grand public : site internet non fonctionnel, accueil en mairie perturbé, services de mairie indisponibles…
Qu’est-ce qui a été le plus difficile à gérer pendant cette crise ?
Le plus difficile, ce sont les besoins du quotidien. Par exemple, nous accueillons tous les jours 3 500 enfants, pointés par les coordinateurs périscolaires grâce à un listing disponible sur un logiciel, pour des raisons de sécurité. Il s’est avéré alors difficile pour eux d’identifier les enfants sans ce listing informatique. Bien que les animateurs connaissent le prénom des enfants, ce n’est pas le cas des noms de famille par exemple.
Comme on ne peut pas jouer avec la sécurité des enfants, ça représentait un stress interne important. Les animateurs ont repris des méthodes à l’ancienne : établir une liste au crayon puis l’envoyer au central. Ce n’était pas idéal car le central aussi travaillait à partir du logiciel.
Il n’y a pas eu d’incident, mais c’était une pression généralisée entre les services.
Quel a été le rôle de l’AMO informatique Dimoxilo ?
Lors d’une cyberattaque, le personnel du service informatique sont les premiers soldats au front.
Le premier travail du consultant de DIMOXILO a été de poser un diagnostic : identifier jusqu’où la contamination a été et quelle est la capacité de redémarrer le système. Cette phase dure quelques jours, car plus ça va, plus on en apprend : comme le fait que la sauvegarde aussi avait été cryptée…
Il a évalué l’ampleur de l’impact, et déterminé petit à petit la capacité à se redresser ou pas, et sous quel délai.
Ensuite, est venu le gros enjeu de trouver de la ressource humaine pour nous aider à réagir. Le service étant composé de 3 personnes, ils ne pouvaient pas intervenir sur les 350 postes de la ville seuls en une semaine. Une grande part du travail du consultant de DIMOXILO a été de réunir autour de lui une équipe en urgence. Cela n’a pas été facile car le secteur de la cybersécurité est tendu. Mais il a su négocier pour nous avoir des prestataires fiables et disponibles.
Pouvez-vous résumer ce que vous a apporté DIMOXILO en une phrase ?
Thomas HEBERT (consultant pour DIMOXILO) a été réactif, a orchestré efficacement les opérations et a agrégé toutes les forces nécessaires, afin qu’à notre échelle nous ayons une équipe performante et opérationnelle.
Une fois la crise résolue avez-vous poursuivi la collaboration avec DIMOXILO, pourquoi ?
La première raison pour laquelle nous avons continué la collaboration est qu’il est compliqué de recruter un DSI, c’est une compétence rare et difficile à trouver. Notre collaboration s’étant bien déroulée lorsqu’il occupait le poste de DSI externe, et le consultant SI fournit par Dimoxilo ayant également montré toute l’étendue des ses compétences pendant la cyberattaque, nous n’avons pas hésité à continuer la collaboration.
Il a continué à travailler avec nous sur le suivi post-attaque pendant plusieurs mois. 1 an et demi après, nous sommes d’ailleurs toujours en train de sécuriser nos systèmes.
Après un bilan, nous voyons que nous avons progressé en termes de sécurité, mais que comme beaucoup de collectivités en France nous restons insuffisants. C’est pourquoi les services d’un prestataire informatique nous sont encore aujourd’hui indispensables.
Quelle est la plus-value du consultant SI au quotidien ?
Pendant la crise, le consultant travaillait en direct avec moi. Au quotidien, je suis maintenant moins dans l’opérationnel. Nous nous voyons ainsi plutôt sur des projets globaux, pour discuter de processus décisionnaires comme de nouveaux investissements.
Le consultant communique en priorité avec l’élu en charge. Il est aussi gestionnaire de l’organisation du service, maintenant soutenu par un responsable que nous avons embauché. Il est donc aujourd’hui beaucoup plus assigné au pilotage de projets.
Nous sommes très contents de la plus-value apportée, après il est vrai que nous voulons sur le long-terme avoir un pilote interne. Avoir un DSI externe a cependant été idéal pour combler ce manque.
Je me vois maintenant continuer la collaboration avec Dimoxilo plus en tant que ressource externe. Il viendra épauler le DSI dans le cadre de la gestion d’un projet complexe : comme des sujets de transformation digitale. Surtout dans l’administration où nous avons un grand enjeu d’automatisation des tâches. Il agit en conseiller expert et gestion de projets.
Conseillerez-vous DIMOXILO à d’autres collectivités ? À quel moment serait-il opportun de les solliciter ?
Sans hésitation je les conseillerai. Sans eux, je pense que nous n’aurions pas pu réagir aussi vite après cette cyberattaque. Pour moi, il y a deux cas de figures où je recommande de faire appel à des prestataires externes comme Dimoxilo.
- Soit dans le cas d’une collectivité en difficulté car elle n’arrive pas à recruter un DSI. C’est mauvais de ne pas avoir un minimum de pilotage sur des sujets cruciaux tel que la sécurité informatique, car on ne peut jamais anticiper quand on va être attaqué. Avoir un consultant permanent sécurise notre activité.
- Soit en tant que ressource experte sur un projet complexe. Les équipes en place gérant du quotidien, elles ne peuvent pas forcément assumer la charge de travail apportée par un projet supplémentaire. La spécialisation de Dimoxilo d’AMO informatique en collectivités fait qu’ils apportent une haute valeur ajoutée. Leurs diverses expériences font qu’ils enrichissent la vision et apportent de la hauteur. C’est donc aussi un atout sur le long terme.
Si vous aussi souhaitez vous faire accompagner sur votre sécurité informatique par une AMO informatique efficace et réactive, n’hésitez pas à nous solliciter !
Merci à Julien CHAMBON, Maire de HOUILLES pour cet entretien.
Ce que DIMOXILO a fait pour la ville de HOUILLES
Nous sommes intervenus dans le cadre de nos services de DSI externalisé. A ce titre nous avons géré la crise dans sa globalité.
- Création et gestion d’une cellule de crise
- Gestion de la communication interne et vers les institionnels (trésorerie, Police, Préfecture..)
- Management des équipes
- Coordination avec les prestataires
- Migration en urgence de la messagerie (Office 365 en 8 jours pour 350 clients..)
- Refonte totale du système d’information obsolète (en 2 mois)
- Consolidation du SI après la période de crise et réorgansiation interne de la DSI (recrutement..)
Nous sommes intervenus sur l’aspect organisationnel mais également technique. Nous avons poursuivi la collaboration avec la collectivité jusqu’à être en mesure de remettre une DSI clé en main.
Un projet, une question ?
Rappelez moi
On vous laisse nous rappeler ?
09 73 45 14 40
06 23 06 75 84
contact@dimoxilo.fr