– Lorsque vous êtes exposé à des hackers, vous vous sentez déshabillé. Ensuite, vous devez commencer le travail de vous habiller vêtement par vêtement, explique le maire John Danielsen (Esp) de la municipalité d’Øksnes.
– Ensuite, il est important que vous commenciez avec les bons vêtements.
Le téléphone
Nous rembobinons le temps.
Le calendrier indique le début du mois de mars de l’année dernière et le printemps a commencé à apparaître dans la municipalité d’Øksnes à Vesterålen.
Au centre municipal Myre, le cri des mouettes se fait entendre, et l’odeur du poisson emplit l’air.
Par Myrevågen sont les grandes entreprises BioMar et Myre Fiskemottak.
Les entreprises ont une création de valeur combinée de près de huit milliards de NOK. Les employés des entreprises de l’industrie maritime ont depuis longtemps commencé la journée de travail.
A deux pas se trouve la mairie d’Øksnes.
Dans la salle du conseil municipal, les hommes politiques de la présidence sont réunis. Ils traiteront entre autres une plainte concernant les frais d’élimination des déchets, l’achat d’un quad et une demande de subvention pour la réfection d’un quai dans l’un des villages de pêcheurs de la municipalité.
Alors que les politiciens prennent les décisions qui s’imposent, le responsable ICT Robin Lillejord reçoit un appel téléphonique du fournisseur de services de sécurité pour les ICT de la municipalité. Un trafic inhabituellement élevé sur le serveur Exchange de la municipalité a provoqué le déclenchement de l’alarme.
Réunion interrompue
La commune semble attaquée.
– J’ai immédiatement sorti le chef de l’administration de la réunion des présidents et expliqué que nous sommes confrontés à une situation potentiellement grave qui nécessite une action, explique Lillejord.
Il est rapidement devenu clair que la municipalité avait été exposée à une attaque informatique par des pirates inconnus. Les politiques sont réunis, une gestion de crise est mise en place.
La municipalité s’est soudainement retrouvée en état d’urgence.
– Je pensais que maintenant il était important de garder la tête froide pour prendre les bonnes décisions. Nous savions que le temps était un facteur critique. Plus le temps passe, plus les conséquences d’une violation de données peuvent être importantes, déclare le maire John Danielsen (Sp) à Øksnes.
La direction d’Øksnes avait entendu parler de l’attaque informatique dont la commune d’Østre Toten avait été victime en janvier. Cela a coûté 35 millions de NOK à la municipalité de Toten. Øksnes pensait qu’ils étaient bien préparés pour un tel événement.
– Nous avions entendu parler de l’attaque informatique sur Østre Toten, mais nous pensions probablement que cela ne se produisait pas dans une petite municipalité de Vesterålen. Nous ne sommes pas assez intéressants, déclare le responsable ICT de Lillejord.
Nous savons maintenant que cela peut arriver à n’importe qui.
Stylo et papier
Lors des réceptions de poisson à Myre et dans les boutiques du centre-ville, la journée s’est déroulée comme d’habitude. Le maire avait informé les habitants de ce qui s’était passé, mais personne n’avait remarqué qu’il y avait une gestion de crise à la mairie.
La gestion de crise a rapidement pris le contrôle de l’ampleur de l’attaque et des mesures ont été prises.
A 18 heures, la municipalité a choisi de fermer son réseau informatique. Des dizaines de systèmes professionnels sont tombés dans le noir.
– Ensuite, le travail de la municipalité est revenu au crayon et au papier, raconte Lillejord.
La vie et la santé, l’eau et les égouts avaient la priorité, et les systèmes du centre médical ont déjà été rouverts ce soir-là. Les autres systèmes ont été ouverts en permanence.
La municipalité était en pleine situation de crise, l’issue n’était toujours pas claire. Les employés ont travaillé sans relâche pour arrêter l’hémorragie numérique. Lorsque la journée s’est transformée en soirée, le maire Danielsen a rassemblé ses troupes pour une pause et une collation commune.
– Nous étions assis là à sourire et à manger de la pizza, et à peine trois heures plus tôt, nous avions fermé toute la municipalité. C’était un paradoxe, mais nous avions le sentiment fort d’avoir rapidement maîtrisé la situation. Ça nous a donné de la sécurité, dit Lillejord.
Vulnérabilité effrayante
L’intercommunale Kommune CSIRT assiste des dizaines de communes norvégiennes dans la sécurisation des données. L’entreprise n’a pas tardé à informer les municipalités de l’attaque qui a frappé le serveur Exchange de plusieurs municipalités norvégiennes.
– À cette époque, Exchange avait une vulnérabilité effrayante. Afin de compromettre les données, les pirates ont dû surmonter quatre vulnérabilités, et grâce aux victimes norvégiennes qui ont réagi rapidement, personne à notre connaissance n’a perdu de données, déclare le chef Bjørn Tveiten du CSIRT de la municipalité.
Il pense qu’il est important d’être préparé aux attaques informatiques, que vous allez au fond de ce qui s’est passé et qu’il est restauré à un niveau de sécurité plus élevé qu’avant l’attaque.
La salle des serveurs
Au cœur d’un des longs couloirs du sous-sol de la mairie de Myre se trouve un petit local technique.
Voici un rack avec des serveurs clignotants et des commutateurs associés.
C’était le serveur Exchange qui se trouvait ici, auquel les pirates avaient eu accès.
Les fichiers de sauvegarde de la municipalité sont stockés dans l’un des autres serveurs. Les techniciens informatiques ont rapidement découvert que les fichiers de sauvegarde, vieux de six jours, n’avaient absolument pas été touchés par l’attaque.
C’était un facteur décisif pour pouvoir maintenir le “temps d’arrêt” aussi court que possible.
– Cela signifiait que nous pouvions rapidement commencer à reconstruire le système et nous pouvions continuellement ajouter différents systèmes de sujets. Ce processus prend généralement 48 heures, précise Lillejord.
Le lundi suivant l’attaque, les employés ont pu se connecter au nouveau réseau.
– L’attaque n’a eu aucune incidence sur l’offre de service et les résidents ont à peine remarqué l’incident. Nous en sommes très heureux, déclare le maire Danielsen.
L’attaque de la commune de pêcheurs d’un peu plus de 4 500 habitants montre que les hackers peuvent attaquer n’importe qui. Il montre également comment vous pouvez réduire efficacement l’étendue des dégâts grâce à une bonne vue d’ensemble, la bonne compétence en gestion de crise, des décisions rapides, une gestion claire, une bonne planification, une bonne coopération, et pas des moindres. Le personnel savait ce qu’il avait à faire.
– Le fait que nous ayons pratiqué une telle situation était absolument central. Cela signifiait que nous savions quoi faire et cela ouvrait la porte à des décisions rapides et bonnes. C’était absolument crucial pour réduire l’étendue des dommages et des temps d’arrêt, explique le technicien ICT Thomas Nilsen.
Ne sera jamais en sécurité
Les pirates n’ont jamais fait de demande de rançon contre la municipalité d’Øksnes, et la police n’a pas été en mesure de découvrir qui était derrière l’attaque. Aucune des données de la municipalité n’a été cryptée et il existe de nombreuses indications que l’attaque a été découverte à un stade très précoce. Cela a permis de réduire l’étendue des dégâts et les coûts entraînés par l’attaque.
Au total, l’attaque a coûté à la municipalité environ un million de NOK.
La direction d’Øksnes estime que la plupart des municipalités du pays ont les mêmes pensées que l’année dernière. Que “les violations de données ne nous arrivent pas”, et qu’elles sont de toute façon bien sécurisées.
Dans ce cas, ils devraient écouter quelques sages paroles de la mer à Vesterålen :
– Nous avons considérablement amélioré la sécurité de nos données et nous pensons que nous avons maintenant une très bonne sécurité. Mais, on pensait aussi ça début mars l’an dernier, raconte Lillejord.
La municipalité a survécu à l’attaque informatique sans dommage durable, et dans les rues centrales de Myre, tout est comme avant.
Les cris des mouettes et l’odeur des poissons caractérisent le paysage urbain.
Dans le petit local technique au sous-sol de la mairie, serveurs et interrupteurs clignotent toujours, comme le 9 mars dernier.