Claudine Wyssa

Les petites communes s’éveillent au risque de piratage

Bussigny vient d’obtenir un label de sécurité informatique, une première suisse. Des communes vaudoises ont déjà été rançonnées.

La Commune de Bussigny est la première commune de Suisse à obtenir un label de cybersécurité après s’être soumise à un audit. Initiée par l’Union des communes vaudoises, la démarche a été menée par la syndique Claudine Wyssa, également présidente de l’UCV, et le secrétaire municipal Pierre-François Charmillot.

Les attaques informatiques ne concernent pas que les gouvernements, les entreprises et les quidams. Les petites communes ne sont pas épargnées, y compris dans le canton de Vaud, mais leur prise de conscience ne fait que commencer.

En début d’année, Bussigny – près de 10’000 habitants – a fait œuvre de pionnière en devenant la première commune de Suisse à obtenir un label de cybersécurité. Elle a en effet participé à un projet pilote de l’Union des communes vaudoises (UCV) en collaboration avec l’association Suisse pour le label de Cybersécurité (Cyber Safe), qui décerne la certification au terme d’un processus d’audit et de test. L’idée fait déjà des émules, puisque la Confédération mène désormais la même démarche à l’échelle Suisse.

La crainte du rançongiciel

«La société avance de plus en plus vers la numérisation, donc les risques augmentent», estime Claudine Wyssa, à la fois syndique de Bussigny et présidente de l’UCV. L’enjeu est particulier pour les communes, car elles abritent des données personnelles et parfois fiscales de leurs administrés. La syndique relève en particulier la crainte des rançongiciels, des programmes qui permettent à des pirates de crypter les données d’une organisation et d’extorquer de l’argent pour lever la prise en otage.

«Dans le canton de Vaud, j’ai connaissance d’un cas qui concerne une association de communes. Ils ont dû payer.» Le groupement de communes en question, qui a été ciblé il y a deux ou trois ans, n’a pas voulu témoigner ou livrer le montant de la rançon.

Ces cyberattaques sont-elles fréquentes? En Suisse, le Centre national pour la cybersécurité de la Confédération (NCSC) reçoit une dizaine de signalements par année de communes victimes de piratage informatique. «Ce n’est pas beaucoup. Mais il n’y a pas d’obligation d’annoncer ce genre de cas», commente Max Klaus, responsable adjoint de la centrale d’enregistrement et d’analyse pour la sûreté de l’information MELANI au NCSC. L’expert précise que les communes visées ne communiquent pas l’impact financier de ces piratages, qui vont de l’hameçonnage au rançongiciel, et que celui-ci est souvent difficile à évaluer.

Si les données disponibles en Suisse sont peu nombreuses, aux États-Unis, une étude de l’entreprise de cybersécurité Kaspersky estime que les cyberattaques sur des institutions municipales ont augmenté de 60% entre 2018 et 2019, avec des demandes de rançon de 1 million de dollars en moyenne. En France, l’Agence nationale de la sécurité des systèmes d’information indiquait qu’en 2019, 25% des incidents qui lui étaient rapportés concernaient des communes, avec des niveaux de gravité divers.

Des failles critiques

Dans l’expérience pilote de l’UCV, il ressort que trois communes se sont portées volontaires pour tenter d’obtenir le label Cyber Safe, mais une seule y est parvenue pour le moment. «Nous avons aidé deux communes à identifier des failles de sécurité critiques, c’est-à-dire des failles qu’il est possible d’exploiter sans être un pirate chevronné», commente Christophe Hauert, secrétaire général de Cyber Safe.

Bussigny a réussi à passer toutes les étapes du processus, qui comprenait notamment un test grandeur nature de phishing, soit l’envoi d’e-mails frauduleux dans le but d’obtenir des données et des accès. «La vigilance des collaborateurs est un aspect important et dans l’ensemble, ils ont bien réagi», souligne le secrétaire municipal Pierre-François Charmillot au terme de l’expérience. Il a néanmoins fallu investir dans quelques nouveaux outils informatiques pour se mettre à niveau.

Une sécurité qui coûte

En matière de cybersécurité, en tout cas dans le canton de Vaud, les communes sont souveraines, comme dans beaucoup d’autres domaines. Mais des incitations semblent bienvenues. L’UCV a ainsi proposé à trois communes de se faire auditer pour le label Cyber safe gratuitement, alors que la démarche peut coûter entre 3000 et 10’000 francs selon la taille de la commune. Difficile de dire si d’autres communes feront la démarche avec leurs propres deniers, même si elles bénéficieront d’un rabais de 20%.

Après l’expérience vaudoise, la Confédération n’en a pas moins décidé de lancer un projet pilote similaire en partenariat avec l’association des communes suisses et en proposant également le label cyber-safe à une quinzaine de communes.

«On voit que les petites communes n’ont souvent pas le savoir-faire et les infrastructures informatiques pour protéger leurs données. Nous essayons de leur recommander des solutions, mais il est possible que pour la mise en œuvre les ressources financières peuvent être un obstacle», observe Max Klaus, du NCSC. «C’est un peu comme une assurance. Chacun évalue combien il est prêt à investir pour se protéger», illustre quant à elle Claudine Wyssa.

Faut-il reporter les élections communales ?

Face à la difficulté à faire campagne et à recruter des candidats, certains élus réclament un report du scrutin. D’autres y voient un moyen de faire de la politique autrement

Le mouvement «Écologie et citoyenneté» d’Échallens fait campagne avec un vélo-cargo pour aller à la rencontre des gens. Ici, Patrick Miéville (casquette), Jean-Christophe Boillat (veste kaki), Catherine Carron, Marc Müller (sur le vélo) et la petite Lisa.

Apéros, poignées de mains, discussions au bistrot, raouts… Les rituels électoraux ne sont guère compatibles avec les restrictions sanitaires. Coronavirus oblige, les candidats aux Communales vaudoises vont au-devant d’une campagne unilatéralement qualifiée de «bizarre».

Pour Cyril Zoller, en lice pour le parlement aiglon sous la bannière AlternativeS, elle risque d’être biaisée par la crise. «Il y a toute une partie des citoyens – confinés ou qui n’ont pas accès aux réseaux sociaux – que nous n’atteindrons pas. Comment pourront-elles choisir les bonnes personnes sans les connaître, sans pouvoir les approcher même, en raison des distances sanitaires?»

Fort de ce constat, l’Aiglon veut susciter le débat: et si on repoussait les Communales à des jours meilleurs, «à mai, voire juin»? L’idée rencontre un écho au centre. La députée Vaud Libre bellerine Circé Barbezat-Fuchs relayera la question mardi en séance du Grand Conseil. Ancien secrétaire des Vert’libéraux et candidat à la Municipalité de Bex, Michael Dupertuis serait également plutôt enclin à repousser. Idem à l’extrême gauche: «Notre parti aime organiser des repas, des moments conviviaux; c’est quelque chose d’important. Nous sommes aujourd’hui très limités dans ces démarches», observe Anaïs Timofté, présidente du POP-Vaud.

«Il serait incongru de déplacer ces élections. On ne doit pas suspendre la démocratie; il est essentiel que nos institutions continuent à fonctionner», Kevin Grangier, président de l’UDC-Vaud. Si la question ne paraît pas saugrenue à Kevin Grangier, président de l’UDC vaudoise, «il serait incongru de déplacer ces élections. On ne doit pas suspendre la démocratie; il est essentiel que nos institutions continuent à fonctionner. Je dirais même qu’il y a un côté symbolique: on doit aller de l’avant.» Cheffe de la députation PLR et candidate à l’Exécutif du Chenit, Carole Dubois renchérit: «En période d’élections, il y a une forme d’inertie qui s’installe dans la gestion des projets, les municipaux ne sachant pas s’ils seront encore en poste. Prolonger cette période d’inertie ne me paraît pas être une bonne idée.»

Les petits pénalisés?

Les formations indépendantes semblent les plus séduites par l’idée d’un report. «Financièrement, prolonger la campagne ne nous avantage pas; mais les petits partis sont clairement plus dépendants des contacts directs pour faire connaître leurs idées», observe Cyril Zoller. Anaïs Timofté précise: «Les grands partis n’ont pas besoin d’être présents sur tous les marchés pour que les électeurs aient une idée de leur programme. Les mouvements alternatifs ont davantage besoin de visibilité.»

«Il y a toute une partie des citoyens – confinés ou qui n’ont pas accès aux réseaux sociaux – que nous n’atteindrons pas. Comment pourront-elles choisir les bonnes personnes sans les connaître?» s’interroge Cyril Zoller, candidat AlternativeS à Aigle.

Alberto Mocchi, président des Verts vaudois, estime que «si la situation actuelle pose effectivement des questions, être présent sur un marché ne garantit pas davantage de toucher tout le monde. Une campagne, c’est un ensemble de vecteurs.» Pour Claudine Wyssa (PLR), présidente de l’Union des communes vaudoises, tous les partis sont d’ailleurs logés à la même enseigne. «Je ne vois pas l’intérêt de repousser. Je doute que la situation sanitaire change drastiquement en deux ou trois mois.»

Sandra Glardon, candidate socialiste à la Municipalité de La Tour-de-Peilz, bastion de la droite, voit une chance: «Faute de pouvoir se réunir ou tenir un stand sereinement, le Covid impacte particulièrement les partis d’opposition comme nous ou les nouvelles formations, et c’est un stress supplémentaire pour trouver des candidats et faire campagne (lire encadré), mais c’est aussi une occasion de se réinventer.» Ou d’être «audacieux et innovants», renchérit Kevin Grangier.

Un défi de «créativité»

Oui, mais comment? Là, les réponses sont évasives. La plupart des Communes et partis affinent leur stratégie en modulant l’existant au mieux. «Il faut trouver le juste mélange entre réseaux sociaux, qui touchent une partie des électeurs mais pas tous, et journal local, considère Cédric Roten, syndic socialiste de Sainte-Croix. Il faudra peut-être aussi se résoudre à appeler les gens individuellement, à l’anglo-saxonne. Cela s’annonce en tout cas un bel exercice de communication.» Certains, comme les Vert’libéraux, misent sur des courriers personnalisés ou des événements en direct sur les réseaux sociaux. «On essaie de recréer autrement ce lien social», explique Michael Dupertuis.

Fabrice Cottier, candidat PLR à la Municipalité d’Aigle, se réjouit de relever «le défi de se démarquer». La recette de son parti? Aucun stand, pas d’affichage sauvage, mais «un sondage papier envoyé avec QR code pour répondre sur téléphone ou ordinateur.» Circé Barbezat-Fuchs y voit, là encore, un biais défavorisant les petites formations locales: «Les partis fédéraux disposent de plus de moyens financiers et humains et d’une organisation plus conséquente qui permet des synergies entre sections. Un tous-ménages, comme ceux envoyés à Bex et Aigle par le PLR, a un coût bien plus élevé qu’un stand.»

«Les grands partis n’ont pas besoin d’être présents sur tous les marchés pour que les électeurs aient une idée de leur programme. Les mouvements alternatifs ont davantage besoin de visibilité.» Anaïs Timofté, présidente du POP-Vaud.

La palme de l’inventivité revient au nouveau mouvement d’Échallens «Écologie et citoyenneté». Ses slogans et QR code d’un mètre sur deux dessinés à la craie dans des lieux emblématiques de la cité du Gros-de-Vaud ont beau avoir fâché la Municipalité, ils ont fait un carton. «4000 vues sur Facebook, 30 membres actifs ultramotivés: c’est juste inespéré alors que nous n’existions pas il y a trois mois», s’enthousiasme Catherine Carron, qui annonce une liste pour la Municipalité et une autre pour le Conseil. La jeune formation se distingue également avec un vélo-cargo recyclé en lieu de discussion mobile. Un bon compromis entre respect des normes sanitaires et «volonté de porter le débat à l’extérieur, là où des personnes de foyers différents peuvent échanger en ces temps où les lieux publics sont fermés».

Les biais des réseaux sociaux

Peu actif sur Facebook (la dernière publication de la section yverdonnoise remonte par exemple au 31 décembre, celle de l’antenne Lavaux-Oron et Riviera au 13 mai 2019), le POP semble circonspect sur la tenue d’une campagne virtuelle: «Une partie de la population n’est pas présente sur les réseaux sociaux, réagit Anaïs Timofté. Et les algorithmes de Facebook induisent un autre biais, avec une sous-représentation des visions alternatives, dont les posts sont moins visibles.»

Source: https://www.24heures.ch/la-campagne-doit-muter-pour-vaincre-le-virus-810623378395