En kiosques : juin 2024
Abonnement Faire un don
Accéder au menu

L’étrange cyberattaque du SIAAP

La nature précise de l’intrusion dont aurait été victime les 16 et 17 novembre derniers le plus grand acteur national de l’assainissement des eaux usées, le Syndicat interdépartemental pour l’assainissement de l’agglomération parisienne (SIAAP), demeure des plus floues trois mois après avoir été rendue publique par le syndicat. L’affaire révèle autant d’intrigantes étrangetés que d’opportunes coïncidences.

par Marc Laimé, 24 février 2024
JPEG - 73.9 ko
Josef Laimer. — « Network flower » (fleur de réseau), 2019.

Branle-bas de combat chez le géant de l’assainissement qui assure l’épuration des eaux usées de 9 millions de Franciliens. Le Syndicat interdépartemental pour l’assainissement de l’agglomération parisienne (SIAAP) a, ou aurait été, victime d’une cyberattaque — les 16 et 17 novembre derniers, qui menacerait le bon fonctionnement de ses six usines implantées en Île-de-France. Une première. On imagine la catastrophe si c’était le cas : plus d’assainissement, cela signifie des milliards de mètres cubes d’eaux usées rejetées dans la nature sans être dépolluées. À quelques mois des Jeux olympiques, ce serait de très mauvais augure. Adieu les « baignades en Seine » !

Un mois plus tôt, le 24 octobre, une première alerte avait secoué l’institution, et déjà les rumeurs allaient bon train. On a d’abord évoqué un nouveau cheval de Troie, le Pikabot, dont il ne sera finalement trouvé aucune trace (1).

Lire aussi Marc Laimé, « Baignades en Seine et JO 2024, quand la fable tourne au fiasco », 22 août 2023.

Un bureau d’études spécialisé, livrera ensuite une autre piste. Ce serait l’un des 1800 agents du syndicat qui aurait malheureusement cliqué sur un lien, une opération classique de hameçonnage. Et des messages auraient ensuite été émis vers d’autres administrations à partir du serveur d’envoi du SIAAP.

C’est tout ? Oui, l’informatique industrielle opérationnelle des six usines et de leur centre de pilotage installé au siège, dans le XIIe arrondissement, ne sont pas touchés. Beaucoup de bruit pour rien ?

Un audit du bureau d’études Business At Work (BAW), rendu ce même mois d’octobre, annonçait fort opportunément dans la foulée de l’incident que la direction des services informatiques (DSI) du syndicat aurait besoin de 20 millions d’euros par an, à inscrire au budget 2024.

La machine s’emballe

Un mois plus tard, nouvelle alerte. Cette fois la machine s’emballe. Dès le 16 novembre, un arrêté du directeur général du syndicat, par délégation de M. François-Marie Didier, conseiller de Paris Les Républicains (LR) qui préside le syndicat depuis les dernières municipales, autorise l’intervention en urgence de la société Microsoft pour « identifier précisément les conséquences de cette cybertattaque et les moyens d’y faire face et de l’éradiquer », prévoyant pour ce faire une modification budgétaire de 271 400 euros en règlement de cette intervention (2).

Un bon de commande, émis dès le 18 par M. Richard Buisset, le nouveau directeur général du SIAAP, porte le montant de cette prestation, répartie dans le temps en trois lots (première semaine, deuxième semaine et phase « Red Button » à six mois) à 325 680 euros (3).

M. Richard Buisset est un transfuge d’Électricité de France (EDF) qui était chargé du chantier de la centrale nucléaire de Hinkley Point en Grande-Bretagne, lequel a tourné au désastre industriel (4).

Le syndicat annoncera ensuite avoir déposé une plainte, et saisi la Commission nationale de l’informatique et des libertés (CNIL) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), qui sera associée aux investigations.

Mais qu’en est-il de la fameuse cyberattaque ? Les 1800 agents du syndicat se voient privés de l’accès à leur messagerie.

Le SIAAP se fend tout au long de la crise, les 18, 26 novembre, puis le 7 décembre, de « bulletins cyberattaque » pour le moins lacunaires et énigmatiques (5).

Agents excédés

Reste qu’au quotidien, alors que la direction enchaîne les réunions de crise non-stop, un désordre sans nom s’installe, comme en témoignent des agents excédés : « Quand cesserons-nous de travailler avec quatre messageries : Olvid, Gmail, Microsoft Exchange, Microsoft 365, un téléphone, un terminal pour la GMAO (gestion de maintenance assistée par ordinateur) ? De revenir aux années 1990 pour envoyer nos factures ? Dr désorganiser jusqu’à ne plus savoir qui fait quoi ? À détruire nos archives ? D’expliquer sans cesse notre travail à des "consultants" au lieu de travailler ? »

Un message d’une directrice technique du SIAAP, en date du 26 novembre, confirmera que Microsoft n’a toujours rien trouvé, et indiquera que les investigations se poursuivent.

Cette ténébreuse affaire s’éclaire d’un jour singulier lorsqu’on découvre que deux semaines avant la « cyberattaque », le 1er novembre, un nouveau directeur du système d’information (DSI) a pris ses fonctions au SIAAP.

En 2021, Philippe Levang dirigeait le centre bus de la Régie autonome des transports parisiens (RATP) de Bords de Marne. Il sera muté après que la RATP ait été condamnée à une amende de 400 000 euros par la CNIL pour avoir créé un système de fichage des employés grévistes contre la réforme des retraites, via des tableaux utilisés pour décider de l’avancement des carrières des agents (6).

Il est épaulé dans ses nouvelles fonctions au SIAAP par un duo singulier qui s’y occupe de la « sécurité informatique » : deux anciens syndicalistes de la Confédération générale du travail (CGT), qui ont créé un nouveau syndicat Confédération française démocratique du travail (CFDT) quand la droite a pris le pouvoir au SIAAP en élisant à sa tête M. François-Marie Didier après les dernières municipales. L’exploit le plus notable de ce duo est d’avoir privatisé la maintenance de l’informatique du SIAAP depuis leur prise de fonction.

Ce n’était qu’un début. On découvre ensuite que même si Microsoft n’a rien trouvé trois semaines après « l’attaque », le président du SIAAP va signer, « vu l’urgence » un marché de gré à gré d’un montant de plus de 2 millions d’euros (7) avec Microsoft afin de doter les personnels de smartphones dernier cri et d’ordinateurs portables équipés de la suite bureautique 365, dont un progiciel spécifique permet d’évaluer en temps réel la productivité des agents (8).

Dans le cloud de Microsoft

Par ailleurs toutes les données des agents seront stockées dans le cloud de Microsoft, en Europe ou aux États-Unis. Une pratique qui suscite nombre de critiques des « grands comptes » hexagonaux (9).

Surprenant pour une institution française classifiée par l’État, à l’instar des services de la santé ou de l’énergie, dans la discrète nomenclature des Opérateurs d’importance vitale (OIV) (10). Ce que conteste le SIAAP, mais comme la liste des OIV est tenue secrète par le gouvernement cette ligne de défense est bien pratique.

Le cloud et la suite bureautique de Microsoft sont en fait l’outil rêvé pour « pucer » les agents du syndicat, et prévenir tout mouvement social, en amont de l’offre publique d’achat (OPA) que prépare Veolia sur le SIAAP.

Lire aussi Selim Derkaoui, « Le logiciel qui fait boguer les cheminots », Le Monde diplomatique, décembre 2022.

La majorité des hauts cadres du syndicat qui avaient accompagné des décennies durant la gestion partagée du parti communiste français (PCF) et de la droite sur le plus important donneur d’ordres européen dans le domaine de l’environnement — avec un budget annuel qui va atteindre un milliard et demi d’euros —, ont été épurés. Ils sont désormais relégués au cimetière des éléphants, comme chargés de mission au sixième étage du siège parisien du syndicat, rue Jules César dans le XIIe arrondissement, et sont remplacés par des jeunes loups aux dents longues.

Le géant français des services de l’environnement avait déjà délogé son éternel rival Suez, qui avait créé une Société mixte à opération unique (Semop) à Valenton, la seconde usine en taille du syndicat (11), après le site historique d’Achères, dont la gestion à été entachée d’accidents industriels à répétition et de soupçons de marchés truqués. L’instruction est enfouie dans les limbes du parquet national financier (PNF) (12).

Tous les feux sont au vert

Tous les feux sont au vert pour Veolia. Mme Rachida Dati siège au conseil d’administration du SIAAP, en qualité de conseillère de Paris, depuis les dernières municipales. Étrangement, contrairement à la situation qui prévalait depuis des décennies, la majorité d’Anne Hidalgo ne dispose plus depuis 2020 de maire-adjoint délégué à l’assainissement.

C’est le père de François-Marie Didier, proche de M. Henri Proglio, qui avait fait embaucher son fils à Veolia puis à EDF. C’est Rachida Dati, un temps très proche d’Henri Proglio, qui a fait élire le fils à papa — qui y a gagné en interne le surnom de « mignon de Dati » —, à la présidence du SIAAP.

La présidente de l’Assemblée nationale, Mme Yaël Braun Pivet a rencontré récemment la direction du SIAAP aux fins d’appuyer l’offensive de l’ex-Générale des eaux, toujours bien en cour à l’Élysée, et de privatiser, de fait, le plus important service d’assainissement européen.

Pour l’heure le système de messagerie des agents a été changé sans planification ni expérimentation. Lors du conseil d’administration qui s’est tenu le 19 décembre dernier, un budget de 3 millions d’euros dédié à l’informatique a été proposé et voté, à trois exceptions près, par les trente-trois élus siégeant au syndicat.

Le SIAAP à déjà dépensé « pour répondre à l’urgence » 6,4 millions d’euros en seulement sept semaines, soit le montant du budget annuel de la DSI.

On apprendra aussi le 14 février 2024 qu’EDF a décidé de confier la gestion de la maintenance de ses centrales nucléaires à une filiale du groupe américain Amazon (13).

Du bon usage des cyberattaques…

Marc Laimé

(1« Présentation détaillée de la cybermenace Pikabot », Sophow News, 20 juin 2023.

(2Arrêté n° 2023-106 portant virement de crédits. Dépenses impérieuses en section de fonctionnement, pour le président du SIAAP et par délégation, le Directeur général.

(3Bon de commande n° 535038. Prestation Microsoft Cyberattaque.

(4« Les EPR anglais au cœur d’un bras de fer entre Londres et Paris », Les Echos, 14 décembre 2023.

(5Bulletins Cyberattaque, SIAAP.

(7Arrêté n°2023-109 portant virement de crédits dépenses imprévues, pour le Président du SIAAP et par délégation, le Directeur général.

(8Lire Jacques Cheminat, « Le score de productivité de Microsoft 365 étrillé sur la vie privée », Le Monde informatique, 1er décembre 2020.

(9« Quand migrer vers le cloud devient un chemin de croix pour les grands comptes », Le Monde informatique, 28 décembre 2023.

Amazon, Microsoft et Google ont capté 80% de la croissance du marché en France en 2021.

(11Lire « SIAAP-Valenton, le retour de la SEMOP », Les eaux glacées du calcul égoïste, 22 juin 2019.

(12Lire « Omerta sur une catastrophe industrielle majeure aux portes de Paris », Les blogs du Diplo, Carnets d’eau, 27 septembre 2019.

(13« EDF a livré ses centrales nucléaires à Amazon », Odile Benyahia-Kouider et Christophe Labbé, Le Canard Enchaîné, 14 février 2024.

Partager cet article