Interpellation déposée par Alexandre Rydlo lors de la séance du Conseil communal du jeudi 02.09.2021
Monsieur le Président,
Mesdames, Messieurs,
On apprenait vendredi 20.08.2021 par voie de presse (site www.watson.ch) que la commune de Rolle avait été victime d’un piratage informatique par le groupe criminel « Vice Society ». Le journal « Le Temps » donnait plus d’explications dans son édition du mercredi 25.08.2021.
Une grande quantité de données et de documents classifiés, ou non, de l’Administration communale et des habitant-e-s, de même que de tiers externes, publics et privés, se sont retrouvés sur le « Darknet », la face cachée d’Internet, un endroit où les adresses IP ne sont pas publiques et où beaucoup de criminels agissent en toute impunité.
L’attaque a eu lieu dans la nuit du samedi 29 au dimanche 30.05.2021. Les pirates informatiques ont chiffré l’intégralité des données conservées par la commune et auraient réclamé une rançon pour la restauration des données. Par la suite, dès le 24.06.2021, des documents et des données subtilisées par les pirates informatiques se sont retrouvées sur le Darknet. A l’époque, la Commune n’a pas jugé opportun d’informer la Population pour, dit-elle, « ne pas attirer l’attention sur la vulnérabilité de la Commune ni sur des données exfiltrées non identifiées, suivant en cela la recommandation de nombreux experts en cybersécurité… ». Soit.
La révélation de ce piratage informatique, qui n’est pas un cas isolé, qu’il s’agisse d’une entité publique ou privée, a en tout cas mis en lumière la vulnérabilité des communes devant le piratage informatique, et appelle qu’on s’intéresse à l’état de notre propre système informatique communal.
Aussi le soussigné pose-t-il par voie d’Interpellation les questions suivantes à la Municipalité :
- Le système informatique de la Commune a-t-il déjà été victime d’un piratage informatique ? Dans l’affirmative, quand et de quelle ampleur ? Dans l’affirmative toujours, pourquoi la Municipalité n’a-t-elle pas jugé bon d’informer la Population et le Conseil communal, au moins la Commission de gestion ?
- Le système informatique de la Commune est-il protégé correctement selon les standards de protection actuels les plus élevés contre les tentatives de piratage informatique ?
- En particulier, un audit de sécurité du système informatique a-t-il été récemment effectué ? Dans l’affirmative, quels en sont les résultats et quelles sont les mesures qui ont été prises pour corriger les lacunes ? Dans la négative, un audit de sécurité sera-t-il réalisé prochainement ?
- La dotation en ETP du service informatique communal doit-elle être renforcée ? Par extension, une collaboration avec notre voisine EPFL ne devrait-elle pas être recherchée dans ce domaine ?
- De manière plus générale, la politique d’équipement en moyens IT de la Commune (ordinateurs, tablettes, smartphones, …) et leur utilisation par le Personnel communal (formation aux outils IT, lutte contre le piratage, politique d’utilisation des moyens IT, politique pour l’envoi des e-mails, dotation du personnel en moyens IT, politique d’utilisation des réseaux sociaux, …) fera-t-elle l’objet d’un concept et/ou d’une feuille de route, voire de directives internes ?
Merci pour votre attention.
Chavannes-près-Renens, 02.09.2021
Alexandre Rydlo, Conseiller communal socialiste