Les villes et les collectivités locales et territoriales ont été la cible de nombreuses cyberattaques au cours des derniers mois.
Après la ville de Marseille, Aix-en-Provence, La Rochelle et Angers, la Communauté de communes de l’Est lyonnais a été visée par une cyberattaque en mars dernier, provoquant des dysfonctionnements de plusieurs de ses systèmes informatiques et services en ligne.
Dans certaines de ces attaques, la plupart par ransomware (rançongiciel), les cybercriminels ont publié des documents internes issus de différents services de la ville, donnant alors un délai à la mairie pour payer une rançon, sous peine de voir les fichiers publiés sur Internet et chiffrés. Pourtant, toutes les administrations ont « pour consigne stricte de ne jamais payer » de rançons, a rappelé l'Elysée, allant dans le sens des recommandations faites par l’ANSSI, mais également de Loïc Guézo, secrétaire général du Clusif, le Club de la sécurité de l'information français, qui confie « Payer, c'est toujours un aveu de faiblesse ».
Au-delà de ce fait, l'une des principales raisons pour lesquelles les organisations ne devraient pas payer la rançon est que payer ne signifie pas que le problème sera résolu. Parfois, les cybercriminels prennent l'argent et ne rendent pas les données. Il arrive également qu'ils prennent l'argent et en redemandent encore plus, sans rendre les fichiers, ou, pire encore, qu'ils mènent une nouvelle attaque quelques semaines plus tard.
Des attaques par ransomware ciblées
Les cybercriminels ont tendance à adapter leurs attaques aux tendances actuelles pour les rendre plus pertinentes. C’est exactement ce qu'ils font depuis le début de la pandémie de COVID-19. Les pirates informatiques ont changé de cible, s'attaquant aux organisations ou aux institutions qui ne peuvent pas se permettre de subir des interruptions prolongées, comme les systèmes de santé ou les municipalités. Ici, il ne s'agit pas d'attaques aléatoires avec demande de rançon. Ce sont des actions ciblées, au cours desquelles les hackers pénètrent dans le réseau et, une fois introduits, ils se déplacent latéralement au cœur du système. Lorsqu'ils sont prêts, ils lancent une attaque à grande échelle contre l’ensemble des ordinateurs afin de chiffrer toutes les données et mettre l'organisation à genoux, en demandant généralement une rançon importante.
Les ransomwares sont très résistants et flexibles. Leur principal attrait pour les cybercriminels est qu'ils constituent un canal aussi direct vers l'argent gagné illicitement que n'importe quel escroc pourrait l'imaginer - peu d'intermédiaires sont nécessaires. Ce type d’attaque a fait naître une plateforme ouverte qui fonctionne selon les principes du marché, autour de laquelle s'est constitué un écosystème florissant de fournisseurs et de spécialistes. Cela a ouvert la porte à des débutants, aux compétences techniques modestes, pour entrer dans le domaine, donnant à ces novices un accès facile et bon marché à des outils et services clés en main puissants. En parallèle, ces groupes de hackers avancés investissent dans l'innovation et poursuivent leurs efforts. Toute cette activité conduit à des attaques avancées, ainsi qu’à une recherche constante de vulnérabilités à exploiter.
Une plus grande surface d’attaque à protéger
À mesure que les collectivités locales deviennent plus digitalisées, que ce soit par le biais de leurs systèmes connectés à internet ou à leurs services en ligne. Sans oublier qu’elles ont également dû faire face à la mise en place du télétravail en lien avec la crise de Covid-19, dans la mesure du possible, un mode de travail peu expérimenté dans ce secteur jusqu’ici. Elles ont ainsi considérablement augmenté leur exposition et leur niveau de vulnérabilités face aux cybermenaces, omettant parfois de s'assurer que la technologie était sécurisée ; bien souvent par manque de ressources humaines et financières mais aussi de formation. En l'absence de protocoles de sécurité appropriés, ou avec des personnes qui ne suivent pas les protocoles requis en raison d'un manque de sensibilisation ou de capacité, notamment dans des situations de travail à distance ponctuelles et non planifiées, les systèmes municipaux peuvent facilement être exploités par des cybercriminels qui prennent le contrôle des serveurs informatiques et mettent hors service les services publics.
Construire les cyber-remparts des villes face aux attaquants
Les villes et les collectivités, de manière générale, doivent adopter une approche de sécurité à plusieurs niveaux pour s'assurer qu'elles sont protégées sur le réseau ainsi que sur les points de terminaison, un moyen d'atténuer les menaces prévalentes et avancées qui les ciblent aujourd’hui. En outre, une mesure de protection simple mais efficace consiste à restreindre les autorisations d'accès aux fichiers partagés et aux applications essentielles. Cela permet de minimiser le nombre de chemins possibles vers les données sensibles. L'accès ne doit être accordé qu'à ceux qui en ont besoin pour leur travail, et il doit être révoqué lorsqu'il n'est plus nécessaire. Cela signifie que personne ne doit disposer de privilèges d'administration généraux sur la seule base de son ancienneté. Des processus de révocation de l'accès dès qu'un collaborateur quitte l'entreprise ou qu'un contrat avec un freelance ou un autre tiers prend fin est également clé.
De plus, une série de vulnérabilités a récemment affecté Microsoft Exchange, avec des attaques portées contre ces vulnérabilités, utilisées à la fois par des cybercriminels à l’origine de menaces avancées et de ransomware. Cette situation peut affecter de manière disproportionnée les PME et d'autres organisations plus petites, y compris les villes et les communautés. C'est pourquoi la gestion des vulnérabilités est si importante. Les organisations devraient déployer des correctifs et installer des mises à jour dès qu'elles sont disponibles pour s'assurer qu'elles restent protégées contre ces cybermenaces.
Pour limiter les conséquences d’une éventuelle attaque par ransomware, la sauvegarde des données est également déterminante, car les cybercriminels volent et chiffrent les données, menaçant de les détruire si une somme d'argent n'est pas versée pour leur restitution. Sans garantie que les données seront restituées dans un état utilisable, les organismes du secteur public sont placés dans un dilemme où ils pourraient être enclin à payer à la fois une rançon et subir un temps d'arrêt qu'ils ne peuvent se permettre. Cette situation peut être évitée simplement en conservant des sauvegardes complètes afin que les données puissent être récupérées, ce qui minimise les dommages financiers et de réputation potentiels, ainsi que le stress ressenti par les employés lors d'une attaque par ransomware.
Enfin, il y a une nécessité de sensibiliser les élus et les fonctionnaires ainsi que de les former et les conseiller sur les bonnes pratiques de cybersécurité. Si un collaborateur est capable de reconnaître un email malveillant, il sera beaucoup moins susceptible de cliquer sur un lien ou d'ouvrir un fichier pouvant contenir ransomware. Ce besoin de formation n'a fait que s'accroître depuis le début de la pandémie, car des effectifs répartis géographiquement ne disposent pas des défenses de cybersécurité habituelles et leur vigilance est mise à mal avec un environnement de travail bousculé. Pour que les politiques de cybersécurité soient comprises et appliquées par tous les employés, elles doivent être soigneusement documentées et accompagnées de calendriers et de listes de contrôle afin de garantir leur mise en œuvre mais aussi la sensibilisation du personnel à ses responsabilités.
NOUS AVONS BESOIN DE VOUS : aidez-nous à combattre les pirates informatiques en nous envoyant les e-mails et SMS frauduleux que vous recevez (transfert d'e-mails, liens suspicieux ou captures d'écran) à l'adresse signalement@avast.com
Avast est un leader mondial de la cybersécurité, protégeant des centaines de millions d'utilisateurs dans le monde. Protégez tous vos appareils avec notre antivirus gratuit primé.
- Suivez-nous sur Twitter : @AvastFrance
- Pour des guides pratiques, des conseils et des astuces, visitez l'Avast Academy : https://www.avast.com/fr-fr/c-academy