Un mois après, ce que l'on sait de la cyberattaque qui a frappé le Conseil départemental de La Réunion

Après le CHU de La Réunion, un important concessionnaire automobile ou encore la mairie de Saint-Philippe, c'était au tour du Conseil départemental de La Réunion (CD 974) d'être la cible de hackers le 13 novembre dernier.

Un mois plus tard, alors que la remise en état est toujours en cours et qu'une enquête a été ouverte par l'office anti-cybercriminalité, Réunion La 1ère fait le point sur cette cyberattaque d'ampleur qui a frappé la collectivité.

Comment s'est déroulée l'attaque ? 

Le 13 novembre, les services informatiques du Conseil départemental constatent une intrusion dans leurs systèmes d'information. Comme l'a évoqué son président Cyrille Melchior le 13 décembre dernier à l'occasion de la remise des prix de l'Excellence, qui récompensent chaque année de jeunes Réunionnais talentueux, c'est un jeune homme en contrat d'apprentissage au Département qui a repéré une fuite de données et l'a signalée à son supérieur.

L'attaque a consisté dans un premier temps à "exfiltrer" les données de la collectivité. Parmi les premières mesures prises en urgence, "la coupure des accès extérieurs a permis d'interrompre les actions de l'attaquant avant qu'il n'ait pu prendre en otage les données par le déclenchement d'un rançongiciel", indique le Département.

Aucune rançon n'a été demandée, "demande que nous aurions bien évidemment refusée", assure le Conseil départemental. Selon la collectivité, les mesures prises en urgence ont empêché l'assaillant de "poursuivre avec une phase de destruction de nos systèmes."

Quelles ont été les données subtilisées ?

Une cellule de crise a été mobilisée afin, notamment, de définir la nature exacte des données subtilisées, qu'ils s'agissent de données internes ou appartenant aux usagers. Le conseil départemental évoque "une fuite limitée de données." 

Quelles ont été les conséquences en interne ?

Selon le CD 974, les conséquences ont pu être contenues en interne. Cependant, par mesure de précaution et pour éviter tout risque de propagation, tous les réseaux informatiques de la collectivité ont été temporairement interrompus avec l'extérieur, ce qui a obligé à traiter les demandes externes par téléphone, accueil physique ou voie postale et à mettre des solutions de secours sécurisées. 
Ainsi, toutes les adresses mail @cg974.fr ont été suspendues. Mais la collectivité dit ne pas avoir "subi de paralysie de ses activités, les données n’ont pas été chiffrées, les applications et la messagerie fonctionnent en interne."

Et pour les administrés ? 

Selon le CD974, il n'y a eu "aucune conséquence pour les administrés car la continuité de nos services a toujours été assurée. L'accueil est toujours possible et les services sont joignables aux numéros habituels. Les applications fonctionnent sur le réseau interne, l'instruction des demandes des usagers continue."

"Tous les paiements ont été et sont réalisés normalement, notamment les prestations sociales, le paiement des factures, le versement des subventions, les salaires des agents… Si la plate-forme NetBourses a été momentanément interrompue, une solution provisoire a été déployée pour rétablir ce service au plus vite et limiter les impacts pour les usagers", assure le CD 974. 

La gestion des aides agricoles Feader a néanmoins été impactée, notamment l'accès aux applications métier OSIRIS et EUROPAC pour la gestion des fonds européens. Ces accès ont été rétablis le 4 décembre dernier, même si un module de paiement alternatif est en cours d'élaboration, indépendamment de l'attaque, afin de permettre à court terme le versement direct des subventions européennes dédiées aux agriculteurs. 

Mais les paiements ont été assurés sur la période, souligne le Département, en étant opérés sur fonds propres. Prestations sociales, salaires des agents, paiement des factures, versements des factures. Plus de 5 millions d'euros d'allocations et subventions ont ainsi été versés aux bénéficiaires éligibles.
D'autres services ont été temporairement interrompus comme le dépôt des demandes de subventions (téléservice pour les demandes de subventions des associations, mairies ou agriculteurs) et la consultation en ligne des rapports des laboratoires des eaux et vétérinaire. 

Le Département était-il prêt à répondre à une telle attaque ? 

La collectivité dit s'être "préparée à réagir à une crise d'origine cyber", avec la mise en place d'une stratégie de gestion de crise et l'élaboration de plans de continuité d'activité. La Direction des Systèmes d’information (DSI) s’était préparée et entraînée à reconstruire un système en cas de paralysie due à une cyberattaque.

"Des plans de continuité informatique avaient été construits par les différents services afin de leur permettre de garantir la continuité d’activité en mode dégradé. Par exemple, il était prévu le déploiement d’une trousse de secours numérique avec des ordinateurs déconnectés du SI et sains, des moyens de communication, une messagerie alternative à la messagerie du SI" précise le Département qui, en mars 2024, avait procédé à deux exercices simulant une cyberattaque afin de tester et améliorer ces dispositifs. 

Quand la situation reviendra-t-elle à la normale ?

Difficile à dire encore, même un mois et dix jours après l'attaque. Selon le Département "des mesures de sécurisation ont été mises en place" et sont toujours en cours de déploiement. Des outils de substitution ont été activés dans l'attente du rétablissement du système original.

Une enquête ouverte à Malartic et à Nanterre

Dès le lendemain de l'intrusion, le CD974 a adressé une déclaration à la Commission nationale informatique et liberté (CNIL), dans un contexte de multiplication des cyberattaques à l'échelle du pays. En 2023, 16 433 plaintes avaient été recueillies par la CNIL, un chiffre en hausse de 35 % par rapport à 2022. 

Le 15 novembre, la collectivité a par ailleurs déposé plainte auprès de l'antenne locale de l'Office anti-cybercriminalité (OFAC) à Malartic. Plainte aussitôt remontée à l'office central à Nanterre, compte tenu de la technicité de l'intrusion et des moyens d'investigation nécessaires pour ce qui est sans doute une attaque pilotée depuis un pays étranger. Une enquête a été ouverte.