Les collectivités territoriales de plus en plus ciblées

Aix-Marseille Métropole, Annecy, Angers, le département de l’Ardèche… Qu’est ce que ces collectivités ont en commun ? Excepté le fait de commencer par un « A », elles ont toutes fait l’objet d’une cyber-attaque depuis 2020, et elles sont loin d’êtres les seules dans ce cas.

Image par Darwin Laganzon de Pixabay

En mars 2020, la métropole Aix-Marseille Provence subit une attaque via un ransomware qui paralyse une grande partie des équipements métropolitains au niveau central et dans les territoires. Si les dégâts sont limités grâce à la présence de sauvegardes qui ont permis une reprise rapide de l’activité, des fuites de données ont été identifiées 6 mois après l’attaque. Fin 2020, Grand Annecy subit une attaque qui vient paralyser ses sites internet. Un an après, c’est la commune d’Annecy qui est touchée par une attaque massive qui paralyse les systèmes informatiques obligeant les agents à revenir au papier et empêchant les administrées de remplir des démarches en ligne ou de joindre la collectivité par téléphone. Bilan : 80% des ordinateurs sont infectés et seulement 40% sont redistribués aux agents. L’ensemble de la sécurité informatique devra être rebâtie. Début 2021, Angers fait également l’objet d’une attaque paralysant l’ensemble de ses postes informatiques empêchant les agents de travailler normalement pendant plusieurs semaines. Enfin en 2022, le département de l’Ardèche a fait l’objet d’une attaque via ransomware où les pirates menaçaient de diffuser environ 50 000 fichiers.

D’après Sofaxis, 42% des cyberattaques visent les collectivités et 30% d’entre elles ont subi une cyber attaque en 2020.

Le ransomware, l’arme préférée face aux collectivités

Si les pirates ont plusieurs options pour s’attaquer à un système informatique, le ransomware reste l’outil principal dans les attaques contre les collectivités (9 cas sur 12).

Il s’agit d’un logiciel qui, une fois activé, va venir bloquer et crypter les données auxquelles l’utilisateur a accès. Cela inclut les données présentes sur l’ordinateur mais également sur les serveurs distants auxquels l’ordinateur est connecté. Une fois les données cryptées il est impossible de les débloquer, les clés de cryptages pouvant prendre plusieurs centaines d’années avant d’être déchiffrées, et la collectivité victime fait souvent l’objet d’une demande de rançon.

La principale question se trouve dans l’origine de l’infection. Il s’agit le plus souvent d’une erreur humaine, par manque d’attention ou de sensibilisation. L’agent va cliquer sur un lien ou sur une pièce-jointe qui va permettre l’installation du logiciel. Pour contacter les futures victimes, les pirates vont faire usage de mails spams copiant des entreprises, proposant des offres promotionnelles, ou en faisant recours à l’ingénierie sociale pour mettre en confiance l’utilisateur. On entend par ingénierie sociale la volonté de se faire passer pour un proche de la victime ou pour une institution (État, police, banque, etc.). Ils peuvent également utiliser des supports amovibles infectés (disques durs, clés USB, etc.) qui vont attaquer l’ordinateur une fois connectés.

Une fois l’ordinateur infecté, il existe trois catégories de ransomware:

  • Le Scareware, qui va simuler un logiciel de sécurité indiquant qu’il a détecté une menace et qu’il faut payer pour la supprimer
  • Les verrouilleurs d’écran, qui bloquent l’écran avec une fenêtre demandant de payer ou simulant un organisme gouvernemental réclamant une amende
  • Les ransomware chiffreurs qui, comme indiqué plus haut, volent et chiffrent les données en échange d’une rançon

Face aux ransomware, la principale solution pour éviter l’infection reste donc la sensibilisation et la formation des agents pour détecter les mails frauduleux. En parallèle, il faut également maintenir les systèmes de sécurité à jour bien que, selon Sofaxis, 88% des virus conçus par des hackers ne sont pas détectés par des anti-virus. Il est également essentiel de disposer de sauvegardes à jour, qui ne sont pas connectées à l’ordinateur, pour pouvoir restaurer les données en cas d’attaque.

Les collectivités font également l’objet d’attaques sur leurs sites internet, soit par déni de service soit en prenant le contrôle du site pour diffuser des messages ou rediriger les requêtes vers des sites pirates. Le déni de service est une attaque visant à rendre inaccessible un serveur ou un site les inondant de requêtes.

Le risque cyber, encore trop ignoré malgré une progression

Si les collectivités territoriales en prennent de plus en plus conscience avec l’augmentation des attaques, le risque cyber reste encore trop souvent mineur dans la prévention des crises. Certaines collectivités, notamment les plus petites, n’en n’ont pas forcément les moyens ou considèrent qu’il y a peu de risques qu’elles soient attaquées.

Cependant, les risques sont particulièrement importants et les coûts de rétablissement de l’activité souvent supérieurs à l’investissement pour protéger le système. En effet, une collectivité qui subit une attaque aura différents frais, pécuniaire ou non :

  • Coût du rétablissement des systèmes informatiques (notamment en cas d’appel à un prestataire externe)
  • Incapacité à fonctionner correctement et à remplir ses missions pendant un certain temps
  • Pertes de données (ce qui peut être répréhensible si les mesures de protection n’étaient pas suffisantes)
  • Affaiblissement de l’image et de la crédibilité de la collectivité

Pour aider les collectivités, et notamment les communes, à intégrer ce risque dans sa globalité, le Label Résilience France Collectivités s’adapte et évolue en proposant désormais la catégorie « Cybersécurité » dans les prérequis pour obtenir le label. Cette catégorie se veut globale en traitant à la fois des aspects matériels et humains de la prévention des risques cyber.

Pour mettre à l’épreuve votre dispositif de gestion des risques et valoriser auprès de la population le travail de vos agents via le Label Résilience France Collectivités, cliquez ici.

Clément KAROUBI

Pour aller plus loin

« Guide – Obligations et responsabilités des collectivités locales en matière de cybersécurité » – CNIL / Cybermalveillance – Lien

Le site Cybermalveillance – Lien

L’Agence Nationale de la Sécurité des Systèmes d’Information – Lien

Les attaques cyber ne concernent pas les collectivités uniquement, elles deviennent une arme de plus en plus utilisées dans des cadres économiques ou géopolitiques. À ce titre, le Haut Comité Français pour la Résilience Nationale a mis à la disposition de ses membres une note d’alerte sur les risques cyber.