Les cyber-attaques : Quand les communes cherchent des parades
Stormshield Cybersecurity, Governance, Cyberangriffe
Certains cyber-experts estiment que la cyberattaque de la ville de Baltimore, aux États-Unis, en mai 2019, a constitué un événement marquant des cybermenaces contre les municipalités. Les montants élevés des rançons et des de restauration, la couverture médiatique ou encore les le nombre d'ordinateurs touchés - l'affaire avait en effet marqué les esprits. laissé une impression durable. Et semble avoir eu un effet d'entraînement car depuis, les exemples se multiplient à l'échelle mondiale.
Cyberattaques et communautés : une menace à l'échelle internationale
Selon einer Studie von 2020, 44 % des attaques de ransomware visaient les municipalités. Des attaques de ransomware qui deviennent encore plus complexes pour les victimes. En septembre 2020, les cybercriminels mettent à disposition 20 gigaoctets de données volées de la métropole française Aix-Provence-Marseille en ligne. Ces données contenaient noms de fonctionnaires et leurs numéros de matricule, ainsi que deux fichiers de 23 000 adresses électroniques associées à des noms. Une fuite contenant des données sensibles qui a mis en lumière une nouvelle forme d'intimidation. d'intimidation qui consiste à menacer de faire fuiter des données. pour forcer le paiement d'une rançon.
Et la menace est mondiale. En juillet 2021, l'administration de l'arrondissement d'Anhalt-Bitterfeld, en Allemagne, a dû être fermée après un Cyberangriff ihre Faxgeräte aus dem Schrank holen. En Italie, toute la région du Latium a été touchée en août, lorsqu'un ransomware avait paralysé le centre de données régional, provoquant entre autres la plateforme de réservation pour la vaccination Covid n'était plus disponible. a été rendue impossible. Aux États-Unis, les exemples sont innombrables. En septembre 2021, le titre était le Washington Post comme suit Ransomware bringt Chaos über amerikanische Städte. De der Polizei in Washington aux écoles du comté de Fairfax, la tendance semble s'être généralisée s'est imposée et atteint même les établissements pénitentiaires. Ainsi, en janvier 2022, ein Gefängnis in New Mexico a été touché par une cyberattaque qui a mis hors service des caméras et des portes automatiques.
"Il y a une explosion des attaques de ransomware", confirme Vincent Nicaise, responsable des partenariats et de l'écosystème de l'industrie chez Stormshield. Cette situation est d'autant plus vrai que certaines administrations utilisent aussi bien des exploitent à la fois des infrastructures informatiques et des infrastructures OT plus sensibles - comme le montre l'exemple de la cyber-attaque au Nouveau-Mexique. A cet égard les associations de communes et autres mairies ne sont pas réputées pour leur réputées pour leur trésorerie abondante. Alors pourquoi s'adresser à eux de manière ciblée doivent-elles être ciblées ? Pour Philippe Loudenot, membre du CESIN, chargé de mission cybersécurité au conseil régional des Pays de la Loire et ancien fonctionnaire en charge de la sécurité des systèmes d'information (FSSI) dans les ministères sociaux, il s'agit le plus souvent de d'attaques opportunistes. Cependant, comme elles constituent une menace directe pour le représentent le bon fonctionnement des services publics, les cyberattaques affectant les administrations locales méritent d'être traitées, attention.
Les services publics mis en difficulté par les cyberattaques
Si la cybersécurité des municipalités est si importante, c'est parce qu'une Une cyberattaque contre une municipalité peut avoir plusieurs conséquences, à chaque fois dévastatrices. peuvent avoir lieu. Philippe Loudenot en distingue cinq.
La mise en péril de la continuité du service public, qui est propre aux administrations. Les municipalités dépendent de leurs systèmes informatiques pour gérer un large éventail de tâches, allant de la cantine scolaire, en passant par le réseau de transport et les services sociaux. Sans accès, les aux données, ces tâches sont interrompues ou fortement sont entravées.
Une fuite de données, un vol ou une perte de données à caractère personnel sont également à envisager. est à prendre en compte, car les communes ont accès à des données sensibles de leurs citoyens ont accès à ces données. Ainsi, en mai, des cybercriminels ont diffusé 2021 les données de 1.000 agents de l'agglomération d'Annecy en France, dont leurs résultats de tests Covid et leurs données personnelles. coordonnées, cinq mois après une attaque sur le système informatique de la collectivité. communauté d'agglomération. En août 2021, c'est le site français de demande de visa qui est visé. demandes de visa qui a été attaqué de cette manière.
La perte du patrimoine de données est un autre risque propre aux municipalités. Au-delà des données qui concernent leurs citoyens, "les collectivités territoriales possèdent un patrimoine de données important", sait Philippe Loudenot, comme les données d'état civil, sociales, financières, etc. données fiscales, etc. Si ces données sont détruites ou que leur intégrité est compromise, la collectivité risque la collectivité risque de perdre une partie de son histoire. de perdre son histoire.
L'impact sur l'image de la collectivité locale constitueégalement une une conséquence importante. Une cyberattaque peut, si elle est connue des citoyens devient publique, aura un impact négatif sur la confiance des citoyens envers la commune et de ses services. Cela est d'autant plus vrai en période de élections municipales ...
Enfin, le risque juridique doit également être pris en compte à prendre en compte. En cas de manquement avéré en matière de protection des données personnelles, la commune s'expose à des sanctions de la part des des instances étatiques, mais aussi des actions en justice de la part des citoyens eux-mêmes.
Le porte-monnaie ou la vie publique
Au niveau de la répartition des menaces et laut einem Bericht von Clusif aus dem Jahr 2020, une association française dédiée à la sécurité informatique, les collectivités locales ont déclaré 30 % des collectivités locales ont déclaré avoir été victimes de ransomwares. Un chiffre à prendre avec recul à prendre avec du recul, car les cyber-attaques passent souvent sous le radar volent : plus de la moitié des municipalités interrogées ont déclaré ne pas avoir de données à ce sujet. En 2021, le journal LeMagIt a réalisé eine Zählung der französischen Städte durch, die von Ransomware betroffen waren.. Au total, elles sont une soixantaine, dont Mitry-Mory, Chalon-sur-Saône, la Communauté d'agglomération de l'Est lyonnais, Douai, Villepinte, Erstein, Istres ou encore Annecy. L'ANSSI mentionne in einem speziellen Leitfaden zum Thema, toutes les communes et intercommunalités sont concernées.
Les demandes de rançon peuvent être très différentes être importantes, mais il faut aussi prendre en compte les coûts indirects liés à une attaque prendre en compte les coûts
Philippe Loudenot, délégué à la cybersécurité au Conseil régional des Pays de la Loire, ancien fonctionnaire de la sécurité des systèmes d'information (FSSI) au ministère de la santé et dans les services du Premier ministre
En ce qui concerne le montant des rançons, selon l'ANSSI, il s'élève à en moyenne à 836.000 dollars aux États-Unis, et à 130 000 euros. "Les rançons demandées peuvent être très différentes, mais il faut aussi tenir comptedes coûts indirects ", souligne Philippe Loudenot. En effet, le paiement d'une rançon n'est pas la seule perte qui peut être attribuée à une cyberattaque. En France, la ville de Chalon-sur-Saône et le Grand Chalon ont dépensé ont par exemple dépensé 550.000 euros pour réparer leurs systèmes informatiques après une cyber-attaque en février 2021. Le site commune ne donne pas d'indications sur les rançons versées ni sur le montant total investi dans l'assainissement - c'est-à-dire la restauration des données et la remise en service du système - a été dépensé. Concrètement cela a impliqué la mise en place de nouvelles procédures et des recrutements pour renforcement des équipes chargées de l'infrastructure réseau, des aspects techniques projets et les systèmes de sécurité. Philippe Loudenot mentionne également les coûts liés aux salaires versés aux employés en de chômage partiel, ainsi que les coûts de la communication nécessaire pour nécessaires pour informer correctement les citoyens. Enfin, des sanctions peuvent être des sanctions pourront être envisagées si des erreurs dans la protection des de données personnelles sont constatées, "même si la Commission nationale de l'informatique et des libertés (CNIL) est plutôt dans une logique d'accompagnement ".
Vecteurs de risque et surface d'attaque pour les communautés
Une logique d'accompagnement nécessaire à tous les niveaux, car la surface d'attaque des collectivités locales en raison de plusieurs vulnérabilités est si importante. Parmi les origines de cette vulnérabilité, on peut citer un certain manque de budgets alloués aux questions de cybersécurité sont mis à disposition : Die meisten französischen Gebietskörperschaften geben weniger als 10 % ihres Budgets für Cybersicherheit aus. Cela correspond au taux préconisé par l'ANSSI.
Première conséquence directe : les sources d'infection sont souvent liées au facteur humain. Il ne s'agit pas là de quelque chose de révolutionnaire, puisque les agents des administrations sont régulièrement exposés au phishing. Et les efforts pédagogiques, entre la sensibilisation à l'hygiène numérique l'hygiène et la formation à la cybersécurité, sont encore trop faibles à ce jour. faibles.
Le manque de budget ouvre une autre porte d'entrée potentielle aux cybercriminels par le biais de postes de travail obsolètes, sur lesquels fonctionnent des systèmes d'exploitation obsolètes, souvent en retard sur les mises à jour sont en retard. Et le champ à couvrir et à protéger, ne cesse de s'élargir : les administrations communales ont équipé leurs employés de équipés de smartphones, de tablettes et d'ordinateurs portables. Tout cela constitue des des portes d'entrée supplémentaires avec ces flottes d'appareils connectés, dont les mots de passe sont souvent peu sûrs, parfois affichés dans les bureaux et ne sont que rarement modifiés par le personnel des autorités.
Les réseaux informatiques (et opérationnels) constituent un autre point faible, qui sont gérés par les autorités locales. La raison en est que les systèmes sont ont souvent une structure plate, n'ont pas de segmentation du réseau et sont sont donc vulnérables aux attaques latérales. Une cyberattaque contre un département de la municipalité peut donc, "grâce" à son interconnexion, également infecter les infecter d'autres départements. Et une fois que le malware est implanté il peut rester en sommeil un certain temps avant d'être activé au moment le plus opportun par des Les cybercriminels l'activent, comme sur le site Gloucester en Grande-Bretagne, qui a été touché en janvier 2022.
Autre point faible, les attaques malveillantes de l'intérieur, selon Philippe Loudenot, qui parle de "curiosité malsaine qui pousse un fonctionnaire à accéder à des informations confidentielles". ou encore d'un ancien fonctionnaire mécontent. parle d'un fonctionnaire dont l'accès aux systèmes informatiques n'a pas été révoqué.
Cybersécurité dans les collectivités locales : solutions à long terme
Les autorités menacées de l'intérieur comme de l'extérieur sont-elles donc condamnées à subir d'incessantes vagues d'attaques ? Même si une certaine charge administrative peut faciliter l'adaptation et la flexibilité nécessaires à une meilleure protection contre les cyber-risques. nécessaires, il existe néanmoins des solutions. En France, les cyber-attaques contre les collectivités locales relèvent de la compétence conjointe de l'ANSSI et de l'ANSSI. de l'ANSSI et de la division de la cybercriminalité. de la Gendarmerie nationale. Dans le cas des ransomwares, les recommandations restent recommandations de ces institutions sont classiques, indique Philippe Loudenot : "payerlarançon. ne pas payer la rançon pour ne pas encourager les futurs cybercriminels à encourager, porter plainte et faire circuler l'information".
Mais l'adage "mieux vaut prévenir que guérir" s'applique aussi dans ce cas. dans ce cas précis. C'est pourquoi il est avant tout important que les municipalités améliorent leur changent leur approche globale de la cybersécurité. L'objectif ? Obtenir une protection protection à long terme, qui sera atteinte par une série de mesures doit être mise en œuvre.
C'est au niveau de la sensibilisation que cela est le plus évident. "Nous devons mettre tout le monde à niveau en ce qui concerne les gestes de base de l'hygiène numérique ", explique Philippe Loudenot. Mettre en place des mots de passe robustes, les changer régulièrement, ne pas les laisser sur des post-it sur son bureau, se méfier des liens reçus ... Des réflexes simples qui mais qui doivent encore être assimilés, admet Philippe Loudenot. "Nous en sommes encore loin", regrette-t-il. Le site discours est réducteur, car on parle surtout des menaces et que les communautés ne se sentent pas concernées. Il faut parler des parler de l'impact. Tout le monde est touché lorsqu'il sait qu'il ne pourra pas sera en mesure d'assurer la continuité de son service public. assurer. "Pour l'expert, il s'agit de changer de perspective : Il ne s'agit pas de savoir "si", mais "quand" une commune est attaquée. Qu'est-ce que nous mettons en œuvre ? Quelles sont les méthodes de travail alternatives"? Un retard dans la sensibilisation que Vincent Nicaise constate également remarque. Il souligne que dans le cadre du programme France Relance , l'État français peut prendre en charge jusqu'à 100 % du coût d'un diagnostic dans une commune, afin que celle-ci fasse le point sur son niveau et ses besoins. puisse réaliser son diagnostic. Et pour aller plus loin, de nombreux praktische Leitfäden ont été publiés par le gouvernement autour de la cybersécurité dans les services publics.
Le discours est réducteur, car on parle principalement de on parle de menaces et les collectivités ne se sentent pas concernées se sentent concernées. Il faut parler de l'impact. Tout le monde est touché quand on apprend que l'on ne pourra pas assurer la continuité de son service public. d'assurer son service public
Philippe Loudenot, chargé de mission cybersécurité du conseil régional des Pays de la Loire, ancien agent de la sécurité des systèmes d'information (FSSI) au ministère de la Santé et dans les services services du Premier ministre
Parallèlement à la sensibilisation, les collectivités doivent également mettre en place des solutions de protection adaptées. Solutions pour les points finaux pour protéger les postes de travail, des pare-feu pour sécuriser les réseaux, solutions de chiffrement pour assurer l'intégrité des données - les outils sont multiples et différents. Mais ils viennent avec ont inévitablement un certain coût. En France, l'ANSSI est consciente consciente de ces enjeux depuis plusieurs années et avait déjà proposé proposé un budget conséquent pour soutenir les collectivités locales, qui s'élève à 60 millions d'euros pour les années 2021 et 2022. À l'adresse début de l'année 2022, les premiers bénéficiaires du programme "France Relance" arriveront au terme du parcours de cybersécurité (dans la partie audit) et devraient avoir accès au plan de cofinancement (jusqu'à 70 %, dans le cadre de la du programme). Ainsi, 2022 devrait (enfin ?) être l'année des systèmes sécurisés sera l'année de la sécurité.
Une autre approche efficace consiste à mettre en place un système de sauvegarde. Ainsi, la commune française de Chalon-sur-Saône montre l'exemple. Grâce à des sauvegardes automatiques des données à J+1, la commune a pu remettre en service ses systèmes sans perte de données, après l'attaque survenue en février 2021, une attaque. Un système efficace qui "devrait être systématiquement mis en place", recommande Philippe Loudenot, "mais c'est loin d'être le cas".
Côté français, l'accent est également mis sur la mise en place d'un réseau de référents locaux. Ce réseau s'appuiera sur des référents en cybersécurité, afin d'être toujours à la pointe de la connaissance des vulnérabilités et des alertes émises par l'ANSSI et le CERT-FR. (Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques). informatiques). La création d'un CSIRT régional (Computer Security Incident Response Team) est d'ailleurs en cours. en cours, parallèlement à l'annonce de la création d'un réseau de CIRS de CISR territoriaux, annoncée lors du FIC 2021. Enfin, il est également important de mentionner que le groupe public groupement d'intérêt public cybermalveillance.gouv.fr a lancé un label Cyber Responsible City afin de distinguer les villes qui se sont engagées dans une démarche s'engager dans un plan d'action de lutte contre les cyberattaques.
Toutes ces initiatives font qu'"aujourd'hui, les élus prennent conscience que la cybersécurité de leurs collectivités n'est pas un non-sujet", estime Philippe Loudenot. Cela tombe bien, car il y a beaucoup à faire.
Blog original écrit par
Stéphane Prevost
Responsable marketing produit et auteur chez Stormshield
Zugehörige Produkte