Un mardi matin, les agents de la mairie arrivent au bureau. Les ordinateurs ne démarrent pas normalement. Ceux qui parviennent à se connecter voient leurs fichiers renommés avec une extension inconnue. Un message s’affiche : vos données sont chiffrées, payez une rançon en bitcoin pour récupérer vos fichiers. C’est un rançongiciel.

Ce scénario n’est pas hypothétique. Il s’est produit dans des dizaines de communes françaises au cours des dernières années. Voici ce que vous pouvez faire pour l’éviter — et comment réagir si ça vous arrive.

Deux cas réels récents en France

Fumel (Lot-et-Garonne) — 5 000 habitants, octobre 2024

Un vendredi matin, les agents de la commune de Fumel arrivent au bureau. Tous les postes sont inutilisables. Le groupe Dragon Force Ransomware, présenté comme un cartel malaisien, avait lancé 1 200 tentatives d’intrusion avant de parvenir à ses fins. Les données sont chiffrées, une rançon est réclamée.

La commune refuse de payer. Elle engage la remédiation : isolation du système, intervention d’experts, reconstruction progressive. Bilan : 24 000 € de frais (davantage sans l’assurance cyber souscrite en amont), et plusieurs semaines de désorganisation des services.

“Les attaques peuvent arriver de n’importe où”, déclarait le maire dans la presse locale. Fumel n’avait rien fait de particulièrement imprudent — elle était simplement tombée dans les mailles d’un filet automatisé.

Source : Smart City Mag · France 3 Nouvelle-Aquitaine

Betton (Ille-et-Vilaine) — 12 000 habitants, août 2023

Le groupe Medusa chiffre les données de la mairie de Betton dans la nuit du 30 au 31 août 2023 et réclame une rançon de 100 000 dollars. La commune refuse. En représailles, les pirates publient les données personnelles des administrés sur le dark web : état civil, données sociales, informations fiscales.

Le même groupe avait attaqué Sartrouville (Yvelines) deux semaines auparavant selon le même mode opératoire.

Source : L’Informaticien · Usine Digitale

En 2024, l’ANSSI a traité 144 incidents cyber affectant des communes françaises. Ces chiffres ne représentent que les incidents déclarés ou détectés — le chiffre réel est probablement plus élevé.

Comment fonctionne un rançongiciel

Un rançongiciel (ransomware en anglais) est un logiciel malveillant qui chiffre les fichiers d’un système informatique et demande une rançon en échange de la clé de déchiffrement.

Les vecteurs d’entrée les plus fréquents

1. Le phishing par e-mail Un agent reçoit un mail semblant légitime (fausse facture, faux avis de colis, faux document administratif). Il ouvre la pièce jointe ou clique sur le lien. Le logiciel malveillant s’installe.

2. L’exploitation de vulnérabilités non patchées Des serveurs accessibles depuis Internet avec des versions logicielles obsolètes (VPN, serveurs de messagerie, bureaux à distance RDP) sont scannés et compromis automatiquement.

3. Les accès distants mal sécurisés Le bureau à distance Windows (RDP) exposé directement sur Internet avec des mots de passe faibles est une porte d’entrée classique. Des outils automatisés scannent en permanence les adresses IP publiques à la recherche de ces accès.

Ce qui se passe après la compromission

Une fois le pied dans la porte, les attaquants ne chiffrent pas immédiatement. Ils passent généralement plusieurs semaines à cartographier le réseau, à étendre leurs accès, à identifier les sauvegardes — et parfois à les effacer ou à les compromettre. Le chiffrement final arrive quand ils ont maximisé leur impact.

Cette phase de “latence” signifie que le moment où vous détectez l’attaque n’est pas le moment où elle a commencé.

Les mesures de prévention

La règle des sauvegardes 3-2-1, avec une variante critique

La sauvegarde est votre police d’assurance principale contre les rançongiciels. La règle standard 3-2-1 (3 copies, 2 supports, 1 hors site) est nécessaire mais pas suffisante face aux rançongiciels modernes.

La variante critique : une sauvegarde immuable ou déconnectée.

Les rançongiciels ciblent maintenant les sauvegardes. Si vos sauvegardes sont connectées en permanence au réseau, elles peuvent être chiffrées avec le reste. Il vous faut au moins une copie qui ne peut pas être atteinte :

Sauvegarde sur bande magnétique déconnectée après chaque session
Sauvegarde sur cloud avec versionning et protection contre la suppression (AWS S3 avec Object Lock, par exemple)
Support physique stocké hors site (disque dur dans un coffre)

Et testez vos sauvegardes. Une sauvegarde non testée est une illusion. Vérifiez régulièrement que vous pouvez restaurer vos données.

Ne pas exposer RDP directement sur Internet

Le protocole de bureau à distance Windows (RDP, port 3389) ne doit jamais être exposé directement sur Internet. Si vous avez besoin d’accès distants, passez par un VPN. C’est non négociable.

Si vous n’êtes pas sûr si votre RDP est exposé, votre prestataire informatique peut le vérifier en quelques minutes.

Mettre à jour les systèmes et les équipements

Les équipements réseau (routeurs, pare-feux, NAS) sont souvent négligés. Leurs firmwares doivent être mis à jour régulièrement. Les vulnérabilités sur ces équipements sont régulièrement exploitées pour des intrusions initiales.

Pour les serveurs et postes de travail, les mises à jour doivent être appliquées dans les délais les plus courts possibles, en particulier pour les correctifs de sécurité critiques.

Filtrer les e-mails entrants

Des solutions de filtrage anti-spam et anti-phishing permettent de bloquer une grande partie des mails malveillants avant qu’ils n’atteignent la boîte de réception des agents. Si vous utilisez Microsoft 365, le service Microsoft Defender for Office 365 offre des protections avancées (parfois incluses dans votre licence existante).

Former les agents au phishing

Un agent qui sait reconnaître un mail de phishing est votre première ligne de défense. Des formations courtes et des simulations de phishing permettent d’ancrer ces réflexes.

Si vous êtes victimes : que faire dans les premières heures

1. Isoler immédiatement les systèmes touchés

Dès la détection, déconnectez les machines touchées du réseau : débranchez le câble réseau, coupez le Wi-Fi. Ne les éteignez pas (sauf si on vous le conseille explicitement — certains rançongiciels s’arrêtent à l’extinction, d’autres effacent des preuves).

L’objectif est d’arrêter la propagation au reste du réseau.

2. Alerter immédiatement votre prestataire informatique

Appelez-le, ne lui envoyez pas de mail (votre messagerie est peut-être compromise). Il doit intervenir en urgence pour évaluer l’étendue de la compromission.

3. Déclarer l’incident au CERT-FR

Le CERT-FR (Centre Gouvernemental de Veille, d’Alerte et de Réponse aux Attaques Informatiques) est joignable pour les collectivités via le formulaire sur leur site : cert.ssi.gouv.fr. La déclaration n’est pas obligatoire pour les petites communes (sauf obligations spécifiques), mais elle est fortement recommandée — le CERT peut fournir une assistance technique et ses données permettent de lutter contre les attaquants.

4. Déposer plainte

Portez plainte auprès de la gendarmerie ou du commissariat le plus proche, ou directement sur thesee.interieur.gouv.fr pour les cyberattaques. La plainte est nécessaire pour activer votre cyber-assurance si vous en avez une, et elle aide les autorités à suivre et démanteler les groupes cybercriminels.

5. Notifier la CNIL si des données personnelles sont impliquées

Si l’attaque a compromis des données personnelles de citoyens (ce qui est presque toujours le cas), vous avez une obligation de notification à la CNIL dans les 72 heures suivant la prise de connaissance de la violation. Le signalement se fait sur le portail de la CNIL.

6. Contacter cybermalveillance.gouv.fr

Le portail cybermalveillance.gouv.fr propose un assistant de diagnostic et une liste de prestataires spécialisés en réponse à incident. En cas d’attaque, c’est une ressource précieuse pour trouver de l’aide rapidement.

La question de la rançon

La recommandation officielle des autorités françaises (ANSSI, gouvernement) est de ne pas payer la rançon.

Plusieurs raisons :

Le paiement ne garantit pas la récupération des données
Il finance les groupes criminels et encourage les futures attaques
Des sanctions pénales peuvent s’appliquer (financement d’organisations criminelles)
Les données peuvent avoir été exfiltrées avant le chiffrement — payer ne les protège pas de la publication

Si vous avez des sauvegardes fonctionnelles, la restauration est toujours préférable au paiement de la rançon. Si vous n’en avez pas, c’est la conséquence directe de ne pas avoir investi dans les sauvegardes en amont.

La préparation : un plan de réponse à incident

Le meilleur moment pour préparer votre réponse à un rançongiciel, c’est avant qu’il se produise. Un plan de réponse à incident n’a pas besoin d’être complexe pour une petite commune :

Liste des contacts d’urgence (prestataire IT, CERT-FR, gendarmerie, CNIL, assureur cyber)
Procédure d’isolation des systèmes (qui fait quoi, dans quel ordre)
Localisation et accès aux sauvegardes (où sont-elles, qui y a accès)
Communication de crise (qui communique, vers qui, avec quel message)

Un document de deux pages, connu des personnes clés, suffit à structurer la réaction dans les premières heures critiques.

Vous souhaitez préparer votre commune à faire face à un incident cyber, ou vérifier que vos sauvegardes sont suffisantes ? Je propose des audits spécifiquement adaptés aux collectivités des Yvelines.

Sources : ANSSI, guide de gestion de crise cyber ; CERT-FR, recommandations sur les rançongiciels ; Cybermalveillance.gouv.fr, ressources victimes de rançongiciels ; CNIL, procédures de notification de violations de données.