Selon le ministère de l’Intérieur, les collectivités sont très vulnérables aux cybermenaces et « souvent visées » [1] . Fin 2022, l’Office d’équipement hydraulique de Corse (OEHC) a subi une cyberattaque par un logiciel de rançon ayant crypté une grande partie des données. Pasquale Castellani, chef du département informatique et Sébastien Mattei, administrateur IT de l’OEHC , reviennent sur leur gestion de crise, ses implications et les leçons tirées.
« Un traumatisme » : c’est ainsi que Pasquale Castellani qualifie la cyberattaque subie il y a plus de trois ans. « Depuis toute anomalie, sur les serveurs par exemple, fait remonter la crainte d’une redite » poursuit-il. « Chaque 2 novembre, il y a comme une crainte au sein de l’Office, confirme Sébastien Mattei. L’attaque a eu lieu durant la nuit du 2 au 3 novembre 2022. Au matin, les accès informatiques de tous les agents étaient bloqués. Les fonds d’écran des ordinateurs avaient changé au profit du logo du groupe de hackers à l’origine de l’attaque et d’un lien vers le paiement de la rançon pour obtenir la clé de décryptage. » Première réaction de l’équipe IT : tout débrancher immédiatement (ordinateurs etc.) afin d’isoler les systèmes et sortir du réseau pour préserver ce qui n’avait pas été touché. « Dès lors, l’OEHC et ses 250 collaborateurs, répartis entre le siège central et une douzaine d’agences, étaient au chômage technique, relate Pasquale Castellani. Or, c’est un Epic qui gère les ouvrages de stockage et la distribution de l’eau agricole de l’île. Il contribue aussi à la distribution de l’eau potable dans le cadre de délégations de service public et héberge un laboratoire d’analyse de la qualité de l’eau ainsi qu’un bureau d’études pour la conception d’ouvrages. Par chance, la cyberattaque n’a pas eu de répercussions sur les services techniques de distribution de l’eau et le laboratoire : ces structures ont pu continuer leurs activités. »
Première semaine : diagnostic et protection
« Prendre la mesure de ce qui se passe est difficile » pointe Pasquale Castellani. « Il nous a fallu œuvrer pour comprendre ce qui nous arrivait et pour éviter les surincidents, opine Sébastien Mattei. Ce n’est pas la typologie de la cyberattaque qui est difficile à qualifier [2]. C’est le fait de poser un diagnostic complet et pertinent, d’évaluer ce qui est récupérable de ce qui ne l’est dans les logiciels, les ordinateurs… Pour y parvenir nous avons créé deux équipes, une dédiée aux équipements, l’autre aux serveurs lesquels sont d’une importance vitale. Nous avons aussi conduit une remédiation, une phase d’analyse qui vise à s’assurer qu’il n’y a plus de trace du hacker dans le système [3], afin de ne pas s’exposer au risque d’un suraccident car il y a toujours un risque d’un crypto-verrouilleur caché. » Dès cette phase, l’équipe IT a fait appel à un prestataire pour l’épauler, un appui indispensable choisi en 48 heures grâce aux retours d’expérience d’autres structures locales touchées par une cyberattaque précédemment.
Deuxième semaine : comprendre et reconstruire
« La deuxième semaine a été consacrée à comprendre le cheminement des hackers. C’est un lourd travail d’enquête qui nécessite de récupérer d’abord tous les logs du système d’information et que l’on mène dans une architecture réseau en ruine » souligne Pasquale Castellani. La cyberattaque subie par l’OEHC résulte de l’exploitation par les hackers d’une vulnérabilité technique, une faille du pare-feu ou firewall, ce matériel et/ou logiciel qui agit comme une barrière entre le réseau local de la structure et les flux provenant d’internet. Son rôle - contrôler, autoriser ou bloquer les paquets de données selon des règles préalablement définies – est sans cesse challengé par la grande évolutivité des cyberattaques : « la faille avait été identifiée. Nous avions du retard sur une mise à jour car, comme bien des équipes IT, les urgences du quotidien l’emportent souvent sur les impératifs de cybersécurité, constate Pasquale Castellani.
« Dès la fin de la deuxième semaine, comme nous avions perdu une trentaine de serveurs sur les 40 dont nous disposions, nous nous sommes attelés à construire une nouvelle architecture réseau avec des procédures spécifiques et durcies. La mise à disposition des ordinateurs reformatés après attaque s’est faite au cas par cas, par services et par priorité » précise Sébastien Mattei. « Le comité de pilotage de gestion de crise, qui réunissait la direction et les représentants des différents services métiers et supports, a été très utile pour arbitrer, partage Pasquale Castellani.
Savoir gérer la pression et la communication
« Les semaines qui ont suivies la cyberattaque ont été très longues pour les 4 agents titulaires de l’équipe IT, notre alternant et les deux agents de la facturation qui nous ont aidés » se souvient Pascale Castellani. À ce travail complexe et chronophage pour rétablir les systèmes, s’ajoute une dimension parfois sous-estimée : tenir bon malgré la pression. « Durant trois semaines, nous recevions régulièrement des messages de décompte de temps avant la divulgation sur le darknet de tel lot de données s’il n’y avait pas paiement de la rançon. C’est une menace par vagues successives et intrusive : il y a eu des tentatives de connexion sans discontinuer sur les messageries personnelles des agents » explique Sébastien Mattei.
En cas de cyberattaque, c’est toute la communication, interne et externe, qui doit être pensée et maîtrisée : « assurer et confirmer aux hackers qu’il n’y a pas de paiement de rançon bien sûr mais aussi échanger dès le lendemain de l’attaque avec les renseignements territoriaux, les équipes du GIGN et le C3N, la cellule nationale de cybersécurité de la gendarmerie qui mène les enquêtes en ce domaine. Sans oublier les déclarations auprès de la Cnil et de l’Anssi et le suivi qui en découle, partage Pasquale Castellani pour qui la cohérence des actions et la réactivité sont les fondamentaux d’une bonne gestion en cas de cyberattaque. « Il faut aussi consacrer du temps et de l’énergie pour que tout le monde prenne la mesure des implications de la cyberattaque » ajoute Sébastien Mattei. « Des échanges ou documents ont pu être récupérés auprès des co-contractants ou de parties prenantes. D’autres sont définitivement perdus, ce qui peut s’avérer problématique, voire pénalisant en particulier lors d’un litige car les différentes versions d’un contrat témoignent des discussions, des négociations » éclaire Pasquale Castellani.
Les leçons tirées
« Notre politique de sécurité a été revue de fond en comble. Nous avons fait un bond en la matière. La contrepartie pour les utilisateurs et notre équipe IT ? Des contraintes, indique Sébastien Mattei, car nos logiciels de cybersécurité imposent des procédures strictes et parce que nous avons posé plus explicitement ce qui était interdit ou imposé concernant les mots de passe, les modalités de connexion… Évidemment les ordinateurs ne doivent plus rester allumés ! Nous avons aussi déployé des actions de sensibilisation aux pratiques de phishing » (en français : hameçonnage), une technique destinée à leurrer la cible pour l'inciter à communiquer des données personnelles (comptes d'accès, mots de passe…) et/ou bancaires en se faisant passer pour un tiers de confiance. Pour construire sa protection cyber, Sébastien Mattei recommande une vision d’ensemble évolutive : « la cybersécurité repose sur un ensemble et tout doit être homogène et mis à jour en permanence. »
« Nous avons aussi défini précisément un mode de gestion de crise et une stratégie de “bunkerisation“ et de listes d’actions et contacts à prévenir et à solliciter, complète Pasquale Castellani. Pour lui « la transposition de la directive NIS 2 qui enjoint les entités essentielles dans les secteurs critiques - la distribution de l’eau en fait partie - à se prémunir en matière de cybersécurité ont aidé à la prise de conscience des collectivités et acteurs publics. Et la récurrence des cyberattaques ces dernières années aussi ! » De fait, en 2025, 293 revendications d’attaques cybercriminelles ciblant des collectivités territoriales ont été recensées, avec des conséquences lourdes parfois : interruption des services publics, captations de données sensibles ou encore pertes financières significatives [4]. En 2024, l’Agence Nationale de la Sécurité des systèmes d’Information (Anssi) avait traité 218 incidents cyber affectant les collectivités territoriales, soit une moyenne de 18 incidents par mois.
S'informer, se former, sensibiliser
Une lecture utile pour s'informer sur la typologie des cyberattaques : le panorama 2025 de la cybermenace de l'ANSSI.
CapCyber : crises et collectivités accompagne les élus locaux et leurs agents dans la prévention et la gestion du risque cyber. Hébergé sur le site de l'AMF et conçu avec le COMCYBER-MI, il propose des fiches pratiques, un jeu de rôle évolutif et des retours d'expérience de collectivités. Disponible ici.
Le COMCYBER-MI déploie SenCy-Crise, un programme de e-sensibilisation aux fondamentaux de la gestion de crise cyber, à destination des petites et moyennes structures publiques ou privées. Disponible ici.
[1] Plus précisément le Commandement du ministère de l’Intérieur dans le cyberespace dans un communiqué du 5 mai 2026
[2] En l’espèce le groupe de hackers avait réussi à se connecter aux serveurs et de ce fait avait accédé aux ordinateurs allumés et lancé un logiciel du type CryptoLocker, un programme qui crypte toutes les données.
[3] Sur la remédiation en cas de cyberattaque : https://cyber.gouv.fr/securisation/gestion-de-crise/piloter-la-remediation-dun-incident-cyber/
[4] Rapport Cybercriminalité 2026 rédigé par le Centre d’analyse et de regroupement des Cybermenaces du Commandement du ministère de l’Intérieur dans le cyberespace (COMCYBER-MI).
