Aller au contenu | Aller au menu | Aller à la recherche

La cybermenace, jusqu’au cœur des territoires (Guy-Philippe Goldstein)

J'ai eu le plaisir de répondre aux questions de Guy-Philippe Goldstein sur la question de la cybersécurité des territoires. IL a publié cet entretien sur son blog de l'usine nouvelle (https://www.usinenouvelle.com/blogs/blogs/cybermenace-sur-le-robinet-d-eau-episode-1.N1060324). Mille mercis à lui. OK

 

 

https://www.usinenouvelle.com/mediatheque/2/3/4/000156432_image_896x598.jpg

 

 

Au cours des douze derniers mois, le nombre, mais aussi le montant des rançongiciels a augmenté [1]. Cette chasse à l’entreprise qui peut payer le plus aurait-elle épargné les entités plus petites et plus désargentées, ou celles du public ? Non. Les collectivités territoriales sont également devenues des proies de choix. En France, la mairie de Toulouse et celle de Marseille et sa métropole ont été victimes de rançongiciels en mars et avril 2020. Après de nombreuses autres victimes, au mois de mars 2021, c’est au tour de la communauté de communes de l’Est lyonnais d’être frappée, avec une demande de rançon de 200 000 euros [2].

Parfois les conséquences dépassent les simples aspects monétaires. Nous avions évoqué sur ce blog la cyberattaque contre l’usine de retraitement d’eaux de la petite ville d’Oldsmar [3], dans la grande banlieue de Tampa, en Floride, gérée par la commune du même nom, et dont le niveau de soude caustique dans l’eau avait été manipulé à distance. Julien Mousqueton, le directeur technique de Computacenter, une entreprise britannique de services du numérique, évoque le cas emblématique de la petite ville d’Aulnoyes-Aymeries (Nord), 9 000 habitants, rançonnée pour 150 000 euros [4]. Entre autres effets, le système informatique du centre administratif de la mairie et de ses satellites (Ehpad, résidence de services, centre aquatique, école maternelle…) se sont retrouvés sans accès téléphonique, le système dédié permettant le lien téléphone étant géré par la mairie [5]. Avec des conséquences sérieuses : le système servait à relayer les appels des malades de l’Ehpad vers les téléphones mobiles des soignants. Comme le remarque Julien Mousqueton, « on ne prend pas toujours en compte tous les risques possibles. Or même une mairie peut gérer les alertes médicales d’un Ehpad. » Et c’est bien un risque tangible, « même s’il s’agissait probablement là d’un dommage collatéral, qui n’avait peut-être même pas été imaginé par l’assaillant ».

L'Institut national pour la cybersécurité et la résilience des territoires (IN.CRT) [6] a été créé en 2020 pour essayer de répondre à cette nouvelle menace. Son vice-président et fondateur, le général de brigade Olivier Kempf, également auteur d’une étude de la Fondation pour la recherche stratégique sur ce sujet (FRS) [7], a répondu à quelques-unes des questions de ce blog sur cette menace grandissante.

Quel est l’état de la menace ?

Une hausse s’est amorcée en 2019, a explosé en 2020 et se poursuit en 2021. Les cibles sont les collectivités territoriales [communes, communautés de communes, communautés d’agglomération, etc., ndla], mais aussi tous les autres acteurs des territoires, des professionnels et artisans aux PME. Ce sont bien les territoires au sens large qui sont attaqués.

Les rançongiciels semblent se focaliser de plus en plus sur les proies qui peuvent payer le plus. Pourquoi alors ces attaques sur de petites cibles ? 

Dans les territoires, nous sommes confrontés à une massification, une « fordisation », du rançonnage. Cette industrialisation est d’autant plus rendue possible que la revente de l’information est facile : on la revend directement au propriétaire initial [plutôt que sur des marchés noirs de l’exploitation de la donnée pour d’autres opérations, ndla] ! À côté de l’industrialisation, il y a également une adaptation de la grille tarifaire. Si je m’attaque à une fromagerie de l’Aubrac, je ne demande « que » 2 000 euros. C’est peu, mais multiplié par 10 000 grâce à l’industrialisation, cela permet au groupe criminel d’atteindre des chiffres intéressants.

Cela traduit-il l’existence de groupes cybercriminels qui se spécialiseraient dans ces cibles faciles, avec gain unitaire minime mais hauts volumes ?

Il y a en gros deux types de groupes qui pratiquent cette activité. Les premiers sont les groupes cybercriminels qui, à côté des opérations contre des cibles « riches », vont s’occuper de manière opportune des cibles dans les territoires – parce qu’après tout, si c’est facile, pourquoi ne pas en profiter ? Et puis il y a un deuxième phénomène, celui d’une grande criminalité classique qui se dit que là, il y a un marché pas compliqué, accessible techniquement et avec très peu de risques. Donc autant s’y mettre. Si on considère les attaquants comme des commerciaux qui cherchent de nouvelles cibles, on a d’un côté des spécialistes de niches qui veulent, sous la pression de la concurrence, étendre leur marché, de l’élitisme au « mass market ». Et on a de « grands distributeurs » traditionnels qui veulent faire « un peu de technologie » et élargissent leur gamme de prestations.

Avez-vous également observé une exploitation politique ?       

Il existe de rares exemples d’effacement de site, de rumeurs sur les maires [avec quelques campagnes d’infox locales – par exemple à Crozon (Finistère), Saint-Maur-des-Fossés (Val-de-Marne) et Metz (Moselle). À ce sujet, lire l’étude FRS [8], ndla]. Mais il s’agit là de manœuvres de subversion au niveau local, par des acteurs locaux. Nous n’avons pas encore vu d’actions organisées comparables, par exemple, à l’ingérence de la Russie dans l’élection présidentielle américaine. Les quelques cas identifiés concernent des initiatives très locales. D’ailleurs, on n’a pas, à ma connaissance, documenté d’actions significatives lors des élections municipales de 2020.

Une récente étude du Club de la sécurité de l’information français (Clusif) [9] note que 35 % seulement des collectivités utilisent le chiffrement des données. Comment expliquer ces efforts encore faibles ?

Élargissons à toutes les cibles dans les territoires. Bien souvent, elles pensent qu’elles sont trop petites pour intéresser les groupes cybercriminels. Donc elles ne font rien, elles se font agresser et elles paient. L’explosion est d’autant plus forte que le phénomène a été renforcé par le choc pandémique, qui a forcé ces acteurs à une transformation numérique brutale. Il faut bien comprendre que pour nombre de ces acteurs, penser cybersécurité s’arrête souvent avec l’achat d’un antivirus. La prise de conscience est encore très très faible, y compris auprès de nombre d’édiles, même dans les villes moyennes, voire assez grandes. La prise de conscience du sujet et des actions à mener n’est pas encore réalisée chez la plupart des responsables des territoires.

Quels sont les risques pour les administrés ?

À force de taper de manière massifiée sur toutes ces cibles, on risque de toucher à des données sensibles. Les données du cadastre, l’état civil, les registres de la cantine (y compris qui mange quoi), les données de l’expert-comptable, celles du médecin : tout ceci constitue un ensemble de données sensibles. Par exemple, imaginez un cadastre ou les registres d’un notaire sans redondance : cela serait extrêmement problématique !

Les réponses actuelles sont-elles adaptées ?

Le terrain n’a pas encore effectué sa prise de conscience. D’un autre côté, certaines organisations centrales pourraient avoir une approche trop jacobine. Des actions pourraient avoir lieu au niveau des régions, par exemple, au niveau des 13 régions métropolitaines françaises. Mais cela risque d’être encore trop élevé par rapport à des situations très locales. Les grands groupes industriels risquent quant à eux d’avoir des réponses technologiques trop sophistiquées. D’autant que le budget cyber d’une agglomération de taille significative, voire d’une métropole régionale, ne dépasse parfois pas les 10 centimes par habitant et par an (quand il y a un budget !). Dans tous les cas, nous n’avons pas de réponse efficace sur le premier enjeu, qui n’est pas une histoire de moyens ou de technologies, mais de prise de conscience. Et pour cela, il faudrait une réponse au plus près du terrain.

Quel(s) type(s) de réponses développer ?

On peut saluer les ambitions de sensibilisation contenues dans le nouveau plan cyber du gouvernement français [10]. Ce qui est important pour la suite, c’est de construire des initiatives locales pour combler certains trous et de les élargir par contagion. Par exemple, l’IN.CRT va mettre en place, avec un partenaire local qui partage ses valeurs, un bachelor de cybersécurité des territoires, avec une première promotion à la rentrée 2021. Les Britanniques offrent d’autres exemples intéressants, avec des initiatives très décentralisés établies sur la base de vrais partenariats public-privé locaux. De manière générale, il faudrait compléter la décision d’en haut en encourageant une diffusion locale par une stratégie en peau de léopard.

 

 


[1] https://www.usinenouvelle.com/blogs/guy-philippe-goldstein/cybersecurite-2021-pire-que-2020.N1056369

[2] https://francenewslive-com.cdn.ampproject.org/c/s/francenewslive.com/le-hacker-reclame-une-rancon-de-200-000-e/184653/amp/

[3] https://www.usinenouvelle.com/blogs/blogs/cybermenace-sur-le-robinet-d-eau-episode-1.N1060324

[4] https://www.francetvinfo.fr/internet/securite-sur-internet/cyberattaques/cyberattaques-les-communes-de-plus-en-plus-victimes-du-ranconnage_4192985.html

[5] https://www.canalfm.fr/news/aulnoye-aymeries-un-mois-apres-la-cyberattaque-33559

[6] https://www.cyberterritoires.fr/

Ajouter un commentaire

Le code HTML est affiché comme du texte et les adresses web sont automatiquement transformées.

La discussion continue ailleurs

URL de rétrolien : http://www.egeablog.net/index.php?trackback/2313

Fil des commentaires de ce billet