Par Benoît Floc'h

Publié aujourd’hui à 02h06, mis à jour à 04h35

Tiroir d’interconnexion au data center Interxion, à Marseille, le 8 juillet 2020. CLEMENT MAHOUDEAU / AFP

Vannes est attaquée début 2016. Quatre agents de cette municipalité du Morbihan, ouvrant un courriel corrompu, laissent pénétrer un virus dans le système informatique de la ville. C’est la stupéfaction. « Qu’y a-t-il à voler dans une municipalité ? », s’interroge Anne Le Hénanff. « Nous n’avions pas conscience, poursuit la maire adjointe, de posséder un bien qui a une grande valeur : pas de l’argent, non, mais de la data, toutes ces données que l’on collecte auprès des habitants. »

La ville réalise que la numérisation effrénée des démarches administratives n’est pas sans risque, et qu’elle s’accompagne d’une « responsabilité de protéger les données ». « La directrice de l’informatique m’a mise en garde, poursuit M^me Le Hénanff : “C’est la dernière chance. Si on ne fait rien, la prochaine fois, ils craqueront notre système de sécurité.” » Vannes sonne le tocsin, et stoppe tout développement numérique pendant deux ans pour se mettre à niveau.

Plus récemment, dans la nuit du 5 au 6 décembre, une attaque au rançongiciel a frappé les serveurs du Syndicat intercommunal d’informatique (SII) de Bobigny, dont dépendent plusieurs municipalités et organismes publics de Seine-Saint-Denis. Pour obtenir un acte de naissance ou de décès, les habitants de Bobigny doivent désormais se rendre en personne à l’état civil et ne peuvent plus faire la démarche en ligne, rapporte l’Agence France-Presse. Aucun retour à la normale n’est en vue pour le moment, le syndicat refusant évidemment de payer la rançon de 4 millions d’euros demandée par les pirates.

Les administrations ne cessent d’être ciblées par les cybercriminels pour les informations personnelles qu’elles possèdent. Fin octobre, ce sont les services de la mairie de Sainte-Affrique (Aveyron) qui ont été attaqués. A l’été 2020, les données de 1,4 million de personnes ayant effectué un test de dépistage du Covid-19 en Ile-de-France ont été dérobées à l’Assistance publique-Hôpitaux de Paris. En juin 2021, Pôle emploi a porté plainte pour le vol massif de coordonnées de chômeurs. Selon les chiffres du dispositif gouvernemental Cybermalveillance, 1 964 collectivités publiques ont été accompagnées pour ce problème cette année, une augmentation de 127 % depuis 2018 (865).

Lire aussi Vol massif de données de santé de l’AP-HP : un pirate informatique arrêté et mis en examen

La sécurité nationale en jeu

Les mêmes faits se répètent, semant le doute sur la manière dont la puissance publique protège les milliards de données, parfois hypersensibles, que les citoyens lui cèdent en toute confiance : numéro de sécurité sociale, suivi médical, coordonnées bancaires, revenus, adresses électronique et postale, nom du conjoint, etc. Cette protection relève de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Mais elle a refusé d’expliquer au Monde comment ce trésor est protégé. C’est pourtant bien « un enjeu majeur de confiance des Français dans les institutions publiques », reconnaît l’entourage de la ministre de la transformation et de la fonction publiques, Amélie de Montchalin.