Les collectivités face au risque de piratage informatique (1/2) : Aperçu de la menace

La semaine dernière, de nombreuses entreprises ont été victimes de l’une des plus importantes cyberattaques connues à ce jour. Dans ce contexte, la question de la vulnérabilité des collectivités territoriales face au risque de piratage informatique semble plus que jamais d’actualité.

Le 12 mai, WannaCry, un logiciel malveillant de type ransomware (logiciel rançonneur) auto-répliquant a infecté plus de 230 000 ordinateurs à travers le monde. Le virus a profité d’une faille de sécurité de Windows XP pour encrypter les données des utilisateurs, puis demander une rançon en échange du déblocage des fichiers infectés. Des entreprises d’envergure internationale, ainsi que des ministères ont ainsi été contaminés. Parmi eux, on compte notamment Renault, dont plusieurs sites ont dus suspendre leurs activités, ou encore le service public de santé britannique NHS, le Ministère de l’Intérieur russe ou la Deutsche Bahn, société des chemins de fer allemande.

De nombreux acteurs ne prennent pas la mesure de ce type de menaces, arguant que les pirates ont peu intérêt à attaquer une petite structure, telle qu’une commune. Le modèle de l’attaque par ransomware remet fortement en cause ce postulat. En effet, au delà du simple affichage de messages, le ransomware fait appel à un modèle économique à part entière. Une enquête menée en 2016 auprès d’entreprises françaises, britanniques, américaines et allemandes, a révélé que 48% d’entre elles avaient subi une attaque par ransomware. 65% des entreprises ciblées avaient alors payé la rançon. En fonction de la capacité de propagation d’un tel logiciel, ces attaques peuvent donc se révéler très lucratives.

Prise en compte de ce risque par les collectivités

En septembre 2015, l’association Primo France publiait une étude intitulée « Les collectivités territoriales face aux conséquences du cyber risque ». Suite aux attentats de janvier 2015, nombre de collectivités avaient en effet été victimes d’attaques. Prenant le plus souvent la forme de défaçage* de sites, ces dernières avaient pour objectif de diffuser des messages.

Cette étude faisait alors état du manque de connaissance des collectivités concernant leur propre parc informatique, ainsi que des référentiels existants, notamment le Référentiel Général de Sécurité. La formation des agents sur cette problématique reste très peu répandue, tandis que 95% des collectivités avouaient ne pas utiliser d’outils de cryptage pour sécuriser les données sensibles ou personnelles qu’elles possèdent.

L’étude soulignait ainsi l’importance de prendre en considération cet enjeu et d’être en mesure d’y répondre rapidement par la mise en place d’une cellule de crise compétente. En effet, le maire, à l’instar du chef d’entreprise, peut encourir des sanctions juridiques s’il n’a pas pris les mesures nécessaires à la protection des données de ses administrés. Notons toutefois que les sanctions demeurent très rares.

De même, suite à une attaque contre le Département du Tarn, un hacker a été condamné à verser 1000 euros d’amende et 1500 euros de dommages et intérêts. En 2014, il était parvenu à accéder au système de collecte et de traitement automatisé de données à caractère personnel.

Dans la Manche, une mairie a quant à elle pu chiffrer au centime près les pertes dues à une attaque de son réseau téléphonique. Durant tout un weekend, les hackers ont ainsi passé des appels vers l’étranger, pour un coût total de 3900€, somme non négligeable pour cette commune comptant à peine plus de 1000 habitants.

Ainsi, la menace est aujourd’hui réelle et le nombre d’attaques touchant des collectivités ne cesse de croître. Chaque collectivité se doit désormais de prendre des mesures pour contrer d’éventuelles attaques.

 

Bibliographie :

  • Ségolène KAHN, « Rapport inquiétant sur les collectivités territoriales face au piratage informatique », 23 septembre 2015, lien
  • ZDnet, « WannaCrypt : les 4 leviers de l’épidémie », 16 mai 2017, lien
  • Association Primo, « Les collectivités territoriales face aux conséquences du cyber risque », septembre 2015, lien
  • Pierre-Alexandre Conte, « Les collectivités territoriales cibles des Pirates Informatiques », 27 février 2017, lien
  • France 3 Occitanie, « Un hacker tarnais condamné à 1000 euros d’amende pour avoir piraté le site du Conseil Général », 19 février 2016, lien
  • Nick Ismail, « The ransomware business model » (eng), 11 avril 2017, lien

* Modification non sollicitée de la présentation d’un site web, à la suite du piratage de ce site.

 

 

Share Button

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*