Rennes Métropole et la Ville de Rennes ont été visées par une attaque informatique. Selon les deux collectivités, seules des données professionnelles issues de l’annuaire interne ont été dérobées. Aucune donnée personnelle des habitantes et habitants de Rennes ou de la métropole ne serait concernée.
Rennes Métropole et la Ville de Rennes ont annoncé avoir été ciblées par une cyberattaque portant sur les données professionnelles de leurs agentes et agents. L’incident concerne les informations figurant dans l’organigramme interne des deux collectivités ainsi que dans l’annuaire de messagerie électronique des personnels.
Dès la découverte de l’attaque, le service gestionnaire des systèmes d’information indique avoir pris les mesures nécessaires pour limiter l’impact de l’intrusion. Une notification a également été transmise à la CNIL, comme l’exige la réglementation en matière de protection des données lorsqu’un incident de sécurité est susceptible d’avoir des conséquences pour les personnes concernées.
Des données professionnelles, mais pas de données d’habitants
Les collectivités précisent qu’aucune donnée personnelle des habitantes et habitants de Rennes ou de la métropole n’est touchée. Les données volées concernent uniquement des informations professionnelles liées aux agents.
Parmi les données concernées figurent la civilité, le nom, le prénom, l’adresse électronique professionnelle, le numéro de téléphone fixe professionnel, le numéro de téléphone mobile, la fonction, l’affectation, le rattachement hiérarchique, les assistants, le site de travail ainsi que des identifiants techniques liés à la boîte mail professionnelle.
Ces informations ne sont pas présentées comme des données sensibles au sens strict, mais leur exposition peut néanmoins avoir des conséquences pratiques. Elles peuvent notamment être utilisées pour préparer des tentatives d’hameçonnage plus crédibles, en imitant un supérieur hiérarchique, un service interne ou une procédure administrative connue des agents.
5 500 agents appelés à la vigilance
Rennes Métropole a informé les 5 500 agentes et agents concernés. Les personnels ont été appelés à faire preuve d’une vigilance renforcée dans les prochains jours et les prochaines semaines, en particulier face aux courriels, appels ou messages suspects.
Le principal risque identifié est celui du phishing, ou hameçonnage. Ce type d’attaque consiste à tromper une personne afin de lui faire communiquer des informations confidentielles, cliquer sur un lien frauduleux, ouvrir une pièce jointe piégée ou valider une opération indue. Lorsqu’un pirate dispose d’informations précises sur l’organisation interne d’une collectivité, ses messages peuvent paraître plus crédibles et donc plus dangereux.
Une plainte va être déposée
Des investigations sont en cours afin d’identifier l’origine de l’attaque et d’en mesurer précisément le périmètre. Rennes Métropole annonce par ailleurs son intention de porter plainte.
Cette cyberattaque rappelle la vulnérabilité croissante des collectivités territoriales face aux intrusions informatiques. Même lorsque les données dérobées ne concernent pas directement les usagers, l’exposition d’un annuaire interne peut constituer un levier pour de futures attaques ciblées, notamment contre les agents, les services administratifs ou les circuits de décision.
Les bons réflexes face au risque de phishing
Les agents concernés sont invités à vérifier attentivement l’expéditeur des messages reçus, à ne pas cliquer sur des liens douteux, à se méfier des demandes urgentes ou inhabituelles, et à signaler rapidement tout courriel suspect aux services informatiques. Une attention particulière doit être portée aux messages qui semblent provenir d’un supérieur hiérarchique, d’un service interne, d’un prestataire ou d’un organisme officiel, mais qui demanderaient une action inhabituelle.
Pour les habitantes et habitants de Rennes et de la métropole, les collectivités indiquent qu’aucune donnée personnelle n’est concernée par cette cyberattaque.
Source : communiqué de Rennes Métropole et de la Ville de Rennes.