Prolongeant une tendance de fond, les campagnes d’attaques visant les services publics se sont intensifiées en 2021 et vont se multiplier cette année. Des hôpitaux et collectivités locales comme les mairies, métropoles, communautés de communes, etc. sont dans la cible des groupes cybercriminels.
En 2021, les hôpitaux de Dax, Arles, Oloron-Sainte-Marie, Villefranche-sur-Saône ou encore l’Assistance Publique - Hôpitaux de Paris (AP-HP) ont fait face à des attaques sérieuses, notamment par ransomware (rançongiciel) de leur système informatique. Les dommages sont immédiats lors de la paralysie du SI avec la déprogrammation d’opérations et la désorganisation des services. Mais les hôpitaux sont aussi pénalisés de manière indirecte, certains devant renouveler une partie des ordinateurs ou faire face aux conséquences des pertes de données sensibles. A la clé, beaucoup d’heures perdues, le tout faisant monter la facture à plusieurs millions d’euros.
Côté collectivités locales, les dommages affectent l’organisation de la cantine scolaire, les réseaux de transports, l’action sociale. Surtout, elles essuient les pertes de données personnelles des administrés (Etat-civil, impôts et taxes, etc.). Les acteurs publics ne sont pas les mieux préparés, la plupart des collectivités françaises consacrant moins de 10% de leur budget à la cybersécurité, le taux pourtant recommandé par l’ANSSI selon le rapport de la Fédération nationale des collectivités concédantes et régies (FNCCR).
D’après l’analyse de Fortinet, 2022 sera très probablement une année record pour le nombre de CVE signalés avec probablement 20 000 vulnérabilités. Une CVE (Common Vulnerabilities and Exposures) est un acrinyme qui désigne une liste publique de failles de sécurité informatique. Les attaquants commenceront à exploiter ces vulnérabilités récentes ou de type "zero-day", à savoir inconnues le jour de l’attaque, pour cibler les organisations non préparées dont font partie les services publics.
Des méthodes d’attaques très facilement accessibles sur Internet
Codes d’accès au SI, réseau, VPN, etc., logiciels malveillants sophistiqués payants mais ne nécessitant pas de compétences élevées pour les utiliser, les outils de la cybercriminalité se « démocratisent ». Cela explique, en partie, la multiplication des attaques.
Derek Manky, dirigeant de FortiGuard Labs, détaille la spécificité des menaces à venir « la cybercriminalité est un écosystème à part entière et le modèle de "ransom-as-a-service" en fait partie. Des cybercriminels versent aujourd'hui des commissions à des partenaires pour mener des attaques. La cybercriminalité va donc se diversifier et gagner en puissance, avec davantage d'acteurs et un arsenal plus large. Si l'on considère toutes les composantes de la cybercriminalité, à l'instar du blanchiment d'argent, les réseaux vont s'étendre et se diversifier. Ces menaces se rajoutent à celles auxquelles le secteur public est déjà confronté, comme les menaces APT et celles sponsorisées par des états-nations. »
Un diagnostic préoccupant que précise Jim Richberg, RSSI (Responsable Sécurité des Systèmes d'Information) de Fortinet pour le secteur public.
« Lorsque nous parlons du secteur public, et des menaces qui pèsent sur lui, il est essentiel de considérer que ce secteur est tout sauf homogène. Les administrations nationales disposent de budgets et d'une expertise importants, même si elles ont du mal à pallier la pénurie de compétences pour rester à la pointe de la technologie. En revanche, les collectivités locales et régionales disposent de moins de ressources à allouer à la cybersécurité. C'est pourtant avec ces acteurs que nombre de citoyens interagissent au quotidien. »