Dossiers
Chroniques
Guides et carnets
Évènements
Tech In Sport
Green Tech Leaders
Alliancy TV
Alliancy Elevate
What’s next CIO ?
Les trophées Alliancy
Tous nos articles
Cybersécurité
Data & IA
DSI & transfo IT
International
Guerre des talents
Nominations
Numérique responsable
Politique publique
Innovation
Alliancy Studio
Alliancy Le Mag
La veille des municipales 2020, alors que le pays bascule vers le confinement, Marseille encaisse une cyberattaque majeure. À Rennes, cinq ans plus tard, son RSSI et son expert cyber racontent une crise totale qui rebat les cartes de la résilience numérique des collectivités.
À 7h31, le 14 mars 2020, Marseille bascule. En quelques minutes, une métropole entière découvre ce que signifie vraiment perdre son SI (système informatique). Ce samedi-là, Jérôme Poggi, RSSI de la ville, est réveillé par un appel laconique : “On n’a plus rien, tu peux vérifier ?” Les tests s’enchaînent, les points d’entrée tombent un à un jusqu’au “secours du secours”, ce dernier accès qui confirme la peur latente. Les systèmes internes et les services municipaux sont comme anesthésiés. “On veut croire à une panne de courant, pas à l’indicible”, résume le RSSI. Cinq ans plus tard, dans le couvent des Jacobins, Jérôme Poggi et Samuel chabert, expert cybersécurité de Marseille, raconte le traumatisme pour l’European Cyber Week. Le public suit la crise comme un plan-séquence. Les deux hommes contextualisent : veille du premier tour des municipales, dernier week-end avant le confinement Covid, pression politique maximale. Le récit fait écho aux mots de Sébastien Sémeril, vice-président de Rennes Métropole, qui ouvrait la session “Villes et territoires numériques de confiance” en rappelant que les collectivités ne sont plus seulement des cibles techniques, mais des pièces critiques de la vie démocratique. “On pourrait ne parler que d’angoisse et de guerre économique, mais moi je veux parler de confiance”, insistait l’élu. Marseille montrera, malgré elle, comment cette confiance est mise à l’épreuve.
Bunkeriser Marseille en 45 minutes
L’incident devient crise quand on l’écrit noir sur blanc. “Confirmation de compromission”. “J’ai vraiment eu du mal à appuyer sur ‘valider’”, confie Jérôme Poggi. L’équipe d’astreinte bascule en mode guerre. Première mission : bunkeriser. “On s’est isolés de tout et de tous. On a tout coupé”, revit le RSSI. En quarante-cinq minutes, 400 sites municipaux sont segmentés, les salles serveurs sont isolées entre elles, les liens avec le réseau interne tombent, les ports sont coupés un à un. Rien de tout cela ne s’improvise, la ville disposait déjà de cartographies réseau précises, de procédures et d’une connaissance fine des interconnexions. “Pour débrancher une fibre, encore faut-il savoir laquelle”, glisse l’expert en cybersécurité. Pendant que l’équipe cloisonne, Samuel Chabert pense déjà à la reconstruction. Dès le dimanche, la survie des services essentiels constitut la priorité, tant pis pour la belle architecture. “On a construit une messagerie en 24 heures pour 4 000 agents, sans annuaire, pour éviter qu’ils se retrouvent isolés pendant le confinement”, explique-t-il. Le choix lui paraît évident, il faut une solution open source française qui puisse être disponible immédiatement, avec des équipes prêtes à passer une nuit blanche. Une semaine plus tard, le verdict tombe : les sauvegardes sont intactes. “Pendant sept jours, on ne savait pas si on redémarrerait un jour. La résilience, ce jour-là, tenait à une bande magnétique”, résume Samuel Chabert.
Quand la cyber devient crise d’État
Une annonce qui ne se suffit pas à elle-même puisque la crise dépasse le seul périmètre des services informatiques municipaux. Jérôme Poggi a appellé le CERT-FR, la cellule nationale de réponse aux incidents. “En une demi-heure, une cellule de crise était en place”, se souvient-il. L’Agence nationale de sécurité des systèmes d’information (Anssi) devient une béquille essentielle de la ville. Au vu des enjeux politiques du week-end, le parquet de Marseille se dessaisit du dossier. Celui de Nanterre reprend la main, épaulé par la Brigade d’enquêtes sur les fraudes aux technologies de l’information (Befti). “On a trouvé les fichiers de rançon très vite, avec deux adresses mail de contact, mais aucun montant. On a signé un blanc-seing, et ce sont les enquêteurs qui ont parlé avec les visiteurs”, raconte le RSSI. Ce transfert de responsabilité libère l’équipe locale d’une pression juridique et morale énorme. Pendant ce temps, un autre front s’ouvre : celui de l’opinion. Les décès liés au Covid ne remontent plus correctement à l’Insee, du fait de l’indisponibilité de l’état civil. Sur les réseaux sociaux, la rumeur enfle. Certains y voient une manipulation pour “couvrir” les résultats d’un traitement miracle ou cacher la réalité de l’épidémie. “On a eu droit à toute la panoplie complotiste”, soupire Jérôme Poggi. Il faudra une prise de parole du ministre de l’Intérieur pour dégonfler la polémique. L’Anssi accompagne même la rédaction du communiqué officiel de la ville. À Rennes, cette séquence résonne avec les débats sur NIS2 puisque la directive impose désormais une gouvernance de crise structurée, des notifications encadrées et une traçabilité des décisions. Marseille en a vécu la version brutale, avant même l’entrée en vigueur de ce cadre.
Arbitrer sous pression, subir les audits à chaud
Si la crise est violente, le traumatisme l’est tout autant. Dès le lundi matin, alors que l’équipe a enchaîné 48 heures de travail quasi non-stop, les premières critiques tombent. “On découvre que ce qu’on a fait tout le week-end est remis en cause par ceux qui n’étaient pas là”, raconte Samuel Chabert. Le choix de la messagerie open source, montée en urgence avec un prestataire français “qui a travaillé 24 heures d’affilée”, fait l’objet de débats enflammés. “On nous demande pourquoi on n’est pas partis chez le grand Américain. Pourtant, la solution choisie fonctionnait et a tenu pendant la crise”, insiste l’expert cybersécurité. Puis, l’heure des audits à chaud a sonné. Les équipes doivent justifier, expliquer, documenter. “On sait bien qu’on n’a pas tout fait parfaitement”, tranche Jérôme Poggi, pour qui “On victimise la victime.” Pour autant, les audits réalisés une fois les cendres retombées, eux, auront une vraie valeur structurante. Ce décalage interroge directement les pratiques des grands comptes. Quand lancer l’évaluation sans casser la dynamique de résolution ? Comment articuler obligations réglementaires, nécessité politique de “montrer qu’on agit” ? En toile de fond, les arbitrages stratégiques sont les mêmes que dans les grandes entreprises : souveraineté contre vitesse, cloud américain contre solutions locales et conformité contre pragmatisme.
La face cachée : fatigue, culpabilité et blessures invisibles
Cinq ans plus tard, leurs voix ne relèvent plus de l’émotion à chaud, mais du traumatisme. “J’ai eu des accès de colère, des moments de désespoir, de résignation”, raconte le RSSI de la cité phocéenne. L’attaque est vécue comme un échec personnel par ceux qui ont “construit le SI comme leur bébé”. Samuel Chabert la considère comme le “pire moment de sa vie”. “On était quasiment 24 heures sur 24 sur le sujet, en pleine période Covid. On travaillait enfermés chez nous, avec des enfants qui souffraient de l’isolement et de l’absence des parents.” Il finira par quitter la ville deux ans, avant de revenir dans l’équipe. Autour d’eux, les dégâts sont tangibles. Un administrateur découvre que son compte a servi de vecteur à l’attaque. Un autre est envoyé dans les cimetières, ordinateur sous le bras, pour maintenir la gestion des concessions pendant que les familles attendent devant le guichet. “Il ne nous en a parlé que bien plus tard, lors d’un séminaire post-crise”, glisse le RSSI. À Rennes, un élu breton rappelle que pour des inondations ou un accident industriel, les collectivités savent déclencher des cellules d’urgence médico-psychologique… mais rarement pour leurs équipes techniques après une cyberattaque. La cybersécurité des territoires, conclut-on, ne se mesure plus seulement en temps de reprise ou en taux de sauvegardes restaurées, mais aussi en capacité à protéger ceux qui tiennent la barre.
Des territoires en première ligne, entre mémoire et oubli
Depuis 2020, la cité phocéenne a consolidé ses remparts. Les plans de coupure ont été revus, les sauvegardes renforcées et isolées, les scénarios cyber intégrés aux plans communaux de sauvegarde. Mais un risque demeure. “Il y a un effet Dory, on commence à oublier”, prévient Jérôme Poggi. Plus le temps passe, plus la tentation est visible : réorienter les budgets, restreindre la sensibilisation, considérer l’attaque comme un “accident du passé”. À l’European Cyber Week, ce constat rejoint les alertes de Sébastien Sémeril sur la montée en charge de NIS2. “En Bretagne, près de 500 organisations vont être concernées, et 80 % découvrent encore le sujet quand on les contacte”. D’où son plaidoyer pour des “cantonniers du numérique” bac+2 ou bac+3 capables de diffuser les réflexes de base sur le terrain. “On a appris à des générations à nager avec des plans piscines, il va falloir apprendre à naviguer dans le numérique”, plaide l’élu, en appelant à intégrer la culture cyber dans les programmes scolaires. Dans un territoire numérique, comme dans une entreprise critique, une interdiction demeure : être prises au dépourvu une seconde fois.
