En mars 2022, la Région Occitanie a affrété deux convois humanitaires à destination de la Pologne et de la Roumanie, alors submergées par les premiers réfugiés de la guerre en Ukraine. Dans les jours qui ont suivi, ses serveurs ont subi des attaques informatiques en hausse de 1 000 % par rapport à l’ordinaire. Elle n’est pas la seule : en quelques années, les cyberattaques contre les acteurs publics se sont multipliées tous azimuts, touchant administrations, collectivités locales, infrastructures, hôpitaux, syndicats de gestion des déchets ou de l’eau, casernes de pompiers, associations… Selon l’Agence nationale de la sécurité des systèmes d’information (Anssi), la part des attaques visant les seules collectivités a bondi de 19 à 22 % en 2022. L’association d’open data Déclic a recensé près d’une dizaine de cas connus en Occitanie, tels que les mairies d’Aussonne (Haute-Garonne) en 2019, d’Aimargues (Gard) en 2020, de Saint-Affrique (Aveyron) en 2021, de Frontignan (Hérault) en 2022.
Une lente prise de conscience
Dans un climat international tendu, la moindre prise de position (attentats contre Charlie Hebdo, guerre en Ukraine, etc.) peut exposer la collectivité à la vindicte de groupes de hackers ou d’agences téléguidés par des "puissances ennemies". Entre autres menaces. "Le piratage rapporte beaucoup d’argent. Le grand banditisme, en plus de ses autres trafics, le pratique de plus en plus. Il trouve des fournisseurs de technologies malveillantes, et n’hésite plus à attaquer et bloquer les serveurs des collectivités : dans la panique, un maire peut être tenté de payer pour le déblocage des données", illustre Rémy Daudigny, délégué régional de l’Anssi. Devant ce constat, l’État a lancé en 2021, dans le cadre du plan France Relance, une action d’accompagnement des collectivités, cofinançant un "parcours de sécurisation" qui vise à renforcer leurs systèmes d’information. À la fin 2022, une centaine d’entre elles en a bénéficié en Occitanie, recevant une aide globale de 10 millions d’euros.
Pour les accompagner, un réseau dense d’intégrateurs et d’éditeurs de solutions de cybersécurité se développe en région : la plateforme régionale Cyber’Occ en recense près de 200. Certains d’entre eux ont été cooptés au sein d’Hexatrust Occitanie, seule déclinaison locale du très sélectif cluster national Hexatrust (90 membres). Mais France Relance crée un appel d’air pour toute la filière. Après appels d’offres, des entreprises de services numériques (ESN) sont amenées à intervenir au fil de ce parcours de sécurisation. La PME montpelliéraine Acelys (200 salariés, CA 2022 : 15 M€) a signé une dizaine de contrats de ce type en deux ans. Elle ne se définit pas comme un intégrateur, mais comme un prescripteur de solutions. "Nous faisons des audits organisationnels et techniques pour identifier des faiblesses, et nous rédigeons un rapport où nous attribuons un cyber score à la collectivité. Puis nous proposons un plan de cybersécurité en fonction de ce score, et nous accompagnons la mise en œuvre de ce plan pour les mesures les plus urgentes", explique Anthony du Plantier, directeur cybersécurité d’Acelys. Ce dernier observe que la communication de l’Anssi autour de France Relance a favorisé la prise de conscience des acteurs publics sur le sujet, mais que le passage à l’action reste laborieux : "On bute encore sur des freins connus, comme le manque de budget et la faible sensibilisation, qui fait que la plupart des collectivités ne s’en préoccupent qu’une fois attaquées".
Une offre en évolution constante
L’installation des solutions de protection est gérée en globalité par des intégrateurs, à l’image du montpelliérain Devensys (40 salariés, CA 2022 : 6 M€). Constatant lui aussi un faible niveau de maturité des collectivités sur le sujet, il parvient toutefois à se développer sur ce segment, qui représente un quart de son portefeuille clients. "Nos principaux sujets d’intervention sont la protection des terminaux numériques et des identités. Notre premier critère est de trouver les bonnes solutions au bon prix. Nous excluons systématiquement les produits russes, chinois ou issus des adversaires de l’OTAN, et privilégions si possible les produits européens", souligne Alexandre Margueritte, DG de Devensys. Après avoir levé 540 000 euros en mars, la PME continue à étendre son offre. Elle propose notamment aux acteurs publics de monitorer 24h/24 les tentatives d’intrusion qui les frappent depuis son centre des opérations de sécurité (COS), un service encore peu répandu chez les ESN. Au bout de deux ans, le COS de Devensys affiche déjà 20 % de clients publics.
Amenées à sélectionner les meilleures briques technologiques, Devensys et les autres ESN se tournent vers des éditeurs comme le montpelliérain Pradeo (51 salariés), spécialisé dans la sécurisation des terminaux mobiles. L’entreprise, qui avait commencé son développement en protégeant les groupes et grandes organisations d’au moins 250 collaborateurs, s’oriente de plus en plus vers les petites structures, telles que les collectivités : elles représentent à ce jour un tiers de son activité. "Elles restent des structures à budget réduit, pour qui la cybersécurité arrive bien après des sujets comme l’assurance. Elles sont le plus souvent dépourvues d’équipes dédiées. Pour mieux les adresser, nous avons changé notre approche et signons des partenariats avec les ESN, qui gèrent l’ensemble de la sécurité, et pas seulement les mobiles", commente Clément Saad, PDG de Pradeo. Ce dernier voit dans la multiplication des objets connectés un danger accru pesant sur les hôpitaux ou les sites stratégiques. "Un pirate peut détecter une faille dans le logiciel de pilotage d’un robot ou de tout appareil connecté. Il faut dès lors identifier les vulnérabilités en amont, dès le développement du logiciel", rajoute le PDG de Pradeo, qui vient de racheter le rennais Yagaan (11 salariés), expert dans l’audit du code source.
Faire face à l’urgence
Par ailleurs, les hackers opérant en marge de la guerre en Ukraine l’ont démontré : même les grands sites critiques sont attaqués, des centrales électriques aux barrages hydrauliques, en passant par les réseaux de gaz ou de transport. Positionné sur le segment des opérateurs d’importance vitale (OIV) depuis sa création en 2011, le montpelliérain Seclab (15 salariés) crée des "solutions de rupture protocolaire" : face aux insuffisances des logiciels, il déporte la protection vers les boîtiers électroniques qu’il fabrique, physiquement isolés du reste du réseau. "Notre produit remplace ce qui a échoué. Nous créons une protection autour des 10 ou 15 % de l’infrastructure piratée qui doivent absolument continuer à tourner", décrit le PDG Xavier Facélina. Constatant les besoins croissants des collectivités qui, une fois touchées, doivent pourtant assurer leurs missions (état civil, permis de construire, etc.), Seclab s’allie aux ESN pour déployer son offre vers les services publics… avec plus ou moins de réussite. "Nous nous sommes associés avec deux éditeurs et un intégrateur pour créer une solution d’urgence destinée aux hôpitaux, sans aucun retour à ce jour ! Si bien que nous travaillons avec des fabricants de matériel hospitalier pour intégrer nos solutions. Après un premier contrat en 2022, d’autres suivront cette année", annonce Xavier Facélina. Pour les collectivités, la PME va lancer en 2023 une offre allégée "concentrée sur certaines fonctions comme l’e-mail ou l’échange de fichiers, mais avec le même niveau de protection garanti par Seclab", poursuit-il.
Basé à Labège (Haute-Garonne), le groupe Scassi (80 collaborateurs, CA 2022 : 6,7 M€) opère la cybersécurité des systèmes critiques, qui touchent à la vie des hommes, aux informations classifiées défense et à l’industrie. "Nous sommes structurés autour de trois pôles, cadre son président fondateur Laurent Pelud. Le risk assessment gouvernance, l’architecture et l’infrastructure cyber et le back test des systèmes sectoriels. Nous hackons ces derniers pour évaluer leur niveau de cybersécurité de façon à pouvoir proposer des solutions compatibles avec l’ensemble de leurs exigences opérationnelles, ce que l’on appelle la sûreté de fonctionnement." Scassi intervient dans l’industrie de la défense, notamment autour de projets spatiaux, dans le monde des véhicules connectés, dans les systèmes des moyens de paiement et dans le domaine de l’aéronautique. "Nous avons par exemple la responsabilité de la cybersécurité de la direction des services de la navigation aérienne (DNSA)", indique-t-il.
Un nouveau pôle dédié en émergence
Le marché de la protection des acteurs publics grandit, et avec lui les initiatives pour le stimuler davantage. Côté institutionnel, la Région Occitanie a créé, en 2022, Cyber’Occ, un centre d’expertise recensant les divers offreurs de solutions présents sur le territoire. En lien avec l’État et l’Anssi, il est devenu, en mars, un service de réponse à incident régional (ou CSIRT, dispositif prévu par le plan France Relance). "Nous proposerons un numéro unique gratuit aux TPE-PME, collectivités et associations cibles d’attaques. Là où l’Anssi intervient pour les structures critiques, nous adresserons les couches les plus exposées, par manque d’argent ou de personnel formé. Nous accompagnerons la victime dans le dépôt de plainte, lui offrirons un panel de solutions, et à trois ou six mois, nous l’aiderons à se doter d’une stratégie pour éviter d’autres attaques", précise Marc Sztulman, président de Cyber’Occ, dont le budget annuel est porté de 400 000 à 500 000 euros.
La sensibilisation des acteurs publics restant un enjeu majeur, l’agence d’événementiel Go organisera à Montpellier, du 11 au 13 mai 2023, le premier Salon français dédié à la Cybersécurité des Collectivités et des Citoyens (ou "S3C"). "La digitalisation des services publics et la multiplication des objets connectés utilisés au travail sont une grande source de risque. On peut le réduire par la sensibilisation et l’éducation en masse sur le sujet. Ce salon sera une vitrine du savoir-faire français et aidera les acteurs publics à se l’approprier", justifie l’organisatrice, Marie-Dominique Calvez. Riche de 50 exposants, le S3C ambitionne d’être un offreur de solutions (un kit de gestion de crise cyber sera présenté aux collectivités), mais aussi le prélude à une nouvelle dynamique collective. Un projet de pôle d’excellence de cybersécurité en Occitanie et Région Sud, conçu sur le modèle du Pôle d’excellence cyber breton, sera dévoilé à l’occasion. Partenaire du S3C, Acelys pousse l’initiative : "L’Occitanie compte de nombreux éditeurs performants, mais pour apporter davantage de plus-values au territoire, ce pôle favorisera l’innovation, disposera d’une équipe pour sensibiliser les acteurs, et nouera des partenariats avec les écoles pour créer des formations certifiantes", promet Anthony du Plantier.
