Thématiques

Numérique et communication

Prévenir les cyberattaques L’AdCF appelle ses adhérents à la vigilance après les agressions subies par des communes, intercommunalités et hôpitaux

La violente cyberattaque subie le 15 novembre par le centre hospitalo-universitaire (CHU) de Rouen, avec paralysie de l’ensemble de ses réseaux informatiques et ordinateurs, invite une fois de plus les administrations publiques à s’interroger sur la « résilience » de leurs systèmes informatiques en cas d’agression extérieure et de chantage à partir de cryptovirus. La pratique croissante des « rançongiciels » qui a paralysé des grandes villes américaines au printemps dernier arrive également en France. La communauté du Grand Cognac en Charente et celle de Nuits-Gevrey en Côte d’Or, viennent d’en être victimes.

Après Atlanta en 2018, grande ville confrontée à une cyberattaque sur ses applications et à une demande rançon payable en Bitcoins, ce sont des offensives multiples qu’ont connues des villes américaines de toute taille en 2019, notamment en Floride. L’affaire de Baltimore a été la plus ébruitée car, en mai 2019, la ville s’est refusée à payer la rançon demandée d’environ 100 000 $ (13 bitcoins), au risque de voir ses réseaux paralysés et ses systèmes de facturation neutralisés le temps de reconstituer toute son informatique. Près de 20 millions de dollars auront été le prix à payer in fine. Dans le même temps, nombre de municipalités ont préféré discrètement payer la rançon, quitte à encourager ces pratiques et même financer leur développement. Dans l’affaire de Baltimore, ville de 600 000 habitants du Maryland, ordinateurs et smartphones ont été bloqués à partir d’un logiciel dit « malveillant » surnommé RobinHood qui s’appuie sur l’outil EternalBlue développé par la NSA (National Security Agency) et qui exploite les failles de sécurité de certains systèmes d’exploitation, notamment ceux qui ne sont pas mis à jour. En 2017, l’attaque Wannacry, de très grande ampleur, avait touché des administrations, des entreprises, des hôpitaux dans plus de 150 pays. Quelques entreprises françaises étaient concernées.

Moins confrontée pour l’instant à ces cyberattaques, la France n’en est pas moins exposée à ce risque de manière croissante. Plusieurs communes et intercommunalités en ont fait l’expérience ces derniers mois. Ce sont également des entreprises ou d’autres administrations publiques qui ont été impactées, comme récemment le Centre hospitalo-universitaire de Rouen qui s’est retrouvé pris en otage par des « rançonneurs » du net exigeant 40 bitcoins (soit 300 000 €). Les dénommés « rançongiciels » (ransomware en anglais) tendent à se multiplier, évoluant aussi vite que les systèmes de sécurité. La digitalisation des services publics, la multiplication des capteurs et des systèmes embarqués… accroissent dans le même temps les possibilités d’intrusion et de blocage des services publics, y compris les plus essentiels. A travers les réseaux d’eau, de transports collectifs, de gestion de déchets… les intercommunalités peuvent constituer des cibles de choix de cyberattaques. Cela a été l’expérience rencontrée les 11 et 12 octobre par la communauté d’agglomération du Grand Cognac dont 400 ordinateurs ont été progressivement paralysés (sans que cela n’interrompe pour autant les services publics). Quelques semaines plus tard, à partir de la nuit du 8 au 9 novembre, c’est la communauté de communes de Gevrey-Nuits (Côte d’Or) qui a été à son tour victime d’une infiltration de virus qui a paralysé des dizaines de postes, le rançonneur demandant 0,31 bitcoin (2200€).

L’intensité des attaques et de leurs conséquences tend ainsi à s’accroître avec les nouvelles générations de pirates informatiques (hackers) et de cryptovirus ou cryptolockers (qui chiffrent les données). Les nombreuses attaques de sites de collectivités et de certaines associations nationales comme l’AdCF, en janvier 2015, s’étaient limitées à la diffusion de messages sur les sites officiels (relayant des discours islamistes radicaux). Très vite surmontés, ces dommages étaient restés superficiels. Ils n’étaient pas accompagnés de demandes d’argent. Il en va autrement des nouvelles attaques qui peuvent paralyser durablement le fonctionnement des services et équipements publics, voire qui demain pourront en prendre le contrôle. L’intrusion dans les systèmes de données personnelles et confidentielles pourrait aussi susciter des risques majeurs, les administrés ayant besoin de « confiance numérique » pour s’engager dans la dématérialisation des procédures et des télépaiements.

De fait, l’AdCF a considéré nécessaire de sensibiliser l’ensemble de ses adhérents à ces risques et d’identifier les meilleures pratiques. Elle en fera un thème de travail en 2020, en lien avec la commission numérique constituée avec France urbaine et les Interconnectés. Les prochaines rencontres de Lyon des Interconnectés seront, sans doute, l’occasion de faire connaître les bonnes expériences de prévention des risques mais aussi de gestion de crise.

Les attaques de sites internet de collectivités françaises ne sont certes pas nouvelles. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) en recense plusieurs centaines chaque année. Pour autant, c’est l’ampleur et la profondeur des attaques qui doivent aujourd’hui interroger, ainsi que l’exposition croissante de systèmes de pilotage des politiques et services publics à ces attaques. Les innovations numériques embarquées dans de très nombreux réseaux et équipements (et développés dans le cadre des programmes dits « intelligents ») doivent être accompagnés de dispositifs de sécurité d’autant plus robustes. Il est également souhaitable d’anticiper le risque numérique et la gestion de crise, en demeurant en capacité de revenir rapidement à des systèmes manuels en cas de besoin.

Il n’est pas exclu que certaines victimes des cyberattaques aient privilégié à ce jour la discrétion en évitant toute médiatisation pour résorber leurs difficultés. Aux Etats-Unis certaines villes ont préféré payer la rançon plutôt que de déposer plainte ou résister. Cette stratégie peut s’avérer à haut risque car la récupération des données n’est jamais garantie et peut tendre à faire monter les enchères. Il convient en tout état de cause de se protéger de ces attaques en suivant les recommandations de l’ANSSI et du site cybermalveillance.gouv.fr.

Contact AdCF : n.portier@adcf.asso.fr & e.lebot@adcf.asso.fr

En savoir plus

https://www.cybermalveillance.gouv.fr/wp-content/uploads/2017/11/bonnes_pratiques_secinfo_poster_a1_anssi.pdf

 

Partager
En savoir plus
Documents à télécharger Documents à
télécharger