Le secteur public s’appuie de plus en plus sur la technologie et le numérique pour ses activités quotidiennes. C’est certes très pratique, mais aussi assez risqué étant donné l’omniprésence de la cybercriminalité. Les organes gouvernementaux, les établissements de santé, les universités et les services publics sont en effet les cibles privilégiées des pirates informatiques. Ceux-ci sont fascinés par la possibilité qui s’offre à eux de paralyser les infrastructures essentielles à la sécurité et au bon fonctionnement de nos villes.

De récentes études menées par l’Agence de l’Union européenne pour la cybersécurité ont mis en lumière la vulnérabilité du secteur public, et particulièrement des administrations publiques et gouvernementales qui constituent les cibles privilégiées des cyberattaquants. Avec un taux alarmant de 24 %, ce secteur arrive en tête du classement des domaines les plus menacés.

Les retombées financières de ces menaces cyber viennent s’ajouter à un tableau déjà complexe. Selon le Rapport 2023 sur le coût d’une violation de données d’IBMchaque incident de cybersécurité affectant le secteur public engendre un coût moyen de 2,60 millions de dollars. Contrairement à ce que beaucoup pourraient penser, il ne s’agit pas seulement de dépenses dédiées à la réparation des dommages. Cette somme inclut les rançons à payer et les frais de justice qui pèsent lourdement sur les budgets accordés, à l’origine, pour les services à la population.

Infographie illustrant le coût moyen d’un incident de cybersécurité dans le secteur public, à savoir 2,6 millions de dollars selon le Rapport 2023 sur le coût d’une violation de données d’IBM.


La bataille est de plus en plus rude face à des cybercriminels qui ne cessent de perfectionner leurs méthodes et d’explorer de nouvelles tactiques pour contourner les mesures de cybersécurité. L’heure est grave, car le secteur public est, sans conteste, devenu l’une de leurs cibles favorites. Il est essentiel d’unir nos efforts et de partager nos connaissances pour mieux nous défendre. Dans cet article, nous avons rassemblé de précieuses informations qui apporteront une pierre supplémentaire au vaste édifice de la cybersécurité.

Pourquoi le secteur public attire-t-il autant les cyberattaquants ?

Si les cybercriminels ciblent autant le secteur public, ce n’est pas le fait du hasard. Entre l’attrait qu’exercent sur eux les importants volumes de données concernés et le désir de faire parler d’eux sur la scène publique, les raisons qui poussent les cybercriminels à diriger des opérations de grande envergure contre le secteur public sont nombreuses.

Les données du secteur public : une véritable mine d’or

Les institutions publiques recueillent une grande quantité de données sensibles extrêmement précieuses, telles que des registres de recensement, des renseignements sur les opérations gouvernementales et sur les infrastructures critiques. La portée et l’importance de ces informations attirent inévitablement les cybercriminels qui y voient différentes sources de gain. Le secteur public gère, en effet, toutes les infrastructures critiques liées aux transports en commun, au système de santé et à l’éducation. Si ces données tombent entre de mauvaises mains, les retombées peuvent donc être désastreuses. Une défaillance des mesures de cybersécurité peut causer la compromission des identifiants de connexion, des e-mails personnels, des adresses, d’informations permettant d’identifier une personne, de coordonnées de paiements, et de tant d’autres données importantes.

Une technologie et des mesures de sécurité obsolètes

Le secteur public a souvent du mal à suivre l’évolution de la technologie et des mesures de cybersécurité. Du fait de leur obsolescence, les systèmes informatiques et les logiciels présentent des vulnérabilités qui n’ont aucun secret pour les cyberattaquants. Ces technologies désuètes n’ont pas les fonctions de sécurité des versions plus récentes et ouvrent ainsi un véritable boulevard aux personnes malintentionnées.

Dans la mesure où ces systèmes sont, en outre, interconnectés, l’impact d’une attaque réussie peut provoquer une onde de choc de grande ampleur. Une seule violation dans un service est susceptible de déclencher une réaction en chaîne qui peut se propager à d’autres organismes et systèmes.

Des budgets limités pour la sécurité et des équipes en sous-effectif

Par rapport aux entreprises privées qui disposent de budgets plus importants, de nombreuses instances publiques ne sont pas vraiment préparées à se défendre contre une cyberattaque, notamment au niveau des services les plus à risques tels que la sécurité, la finance et l’informatique. Comme le secteur public est majoritairement financé avec l’argent du contribuable, il est soumis à de nombreuses restrictions budgétaires et à une certaine lourdeur administrative qui rend difficile l’implémentation de mesures de cybersécurité intégrales, adaptées au niveau de risque. Un rapport d’information présenté au Sénat fin 2021 montre que les principaux obstacles à la cybersécurité au sein des collectivités locales sont : une prise de conscience tardive et insuffisante de ce risque, mais aussi un manque de budget et de personnes qualifiées.

Des hackers qui cherchent à frapper fort pour se faire connaître

Qu’il s’agisse de données sur la population ou de renseignements ayant trait à la sécurité nationale, les instances publiques ont accès à de très grandes quantités d’informations sensibles. Comme le grand public dépend beaucoup de ces institutions, toute violation de sécurité risque d’avoir un impact considérable et d’attirer l’attention de l’opinion publique. Les cybercriminels sont fascinés par la possibilité d’interrompre les opérations, de dérober des données ayant de la valeur ou de porter atteinte à la confiance que les gens accordent au secteur public. Ce dernier est donc une cible de choix dans la mesure où une violation de données ou une cyberattaque peut permettre aux criminels de gagner en notoriété, de provoquer des bouleversements politiques et d’exploiter la panique et l’insécurité causées par l’incident.

Stratégie géopolitique et guerre cyber

Toute infiltration dans les réseaux des instances publiques ou perturbation de leurs activités peut avoir des répercussions géopolitiques de grande ampleur. Les cybercriminels savent qu’ils peuvent ainsi exercer des pressions sur la scène politique internationale, tirer des avantages stratégiques de la situation et agir en faveur de leurs objectifs politiques et militaires. Ainsi, en s’en prenant aux infrastructures essentielles et en dérobant des informations sensibles, les cybercriminels ont le pouvoir de déstabiliser les gouvernements, de saper la confiance du public dans les administrations et d’influer sur les relations internationales. La multiplication des cyberattaques depuis le début du conflit en Ukraine le démontre de manière frappante.

Le secteur public est une cible idéale pour les cybercriminels qui agissent à des fins géopolitiques. C’est, par conséquent, l’un des principaux champs de bataille dans le contexte compliqué de la guerre cyber et du piratage commandité par les États.

Encart autour de la question : les infrastructures essentielles sont-elles menacées par les attaques contre le secteur public ?

Le secteur public en état de siège : 5 menaces cyber qui le mettent à rude épreuve

Parmi le vaste éventail de menaces cyber qui frappent le secteur public, quelques-unes se distinguent par leur fréquence et les préjudices qu’elles causent sur le long terme. Voici les cinq principaux risques qu’aucun gouvernement ne peut s’offrir le luxe de négliger : les rançongiciels, les attaques commanditées par des États, le phishing, les attaques DDoS et l’hacktivisme. Il est indispensable de bien comprendre ces différents modes d’action pour renforcer la cybersécurité des instances et protéger leurs actifs.

Rançongiciels

De toutes les menaces cyber, les rançongiciels comptent parmi les plus grands cauchemars des équipes de cybersécurité. Ces logiciels malveillants ne se contentent pas de verrouiller les données. Ils se rendent maîtres des services essentiels prodigués par les administrations publiques et créent une situation des plus compliquées. Mais il y a pire encore : la double extorsion ajoute au chiffrage des données critiques, la menace de publier les informations dérobées si la rançon exigée n’est pas payée… Une manière, pour les hackers, de doubler la mise.

On comprend combien les conséquences peuvent être désastreuses pour les entités du secteur public qui détiennent généralement des informations sensibles sur la population et sur les infrastructures essentielles. Le préjudice porté à la réputation de l’entité, les pertes financières et l’interruption des services peuvent avoir de lourdes conséquences, au-delà même de la crise en tant que telle.

Le rapport 2022 sur les violations de données d’IBM a établi que le coût moyen de rétablissement des systèmes après une attaque par rançongiciel était de 4,54 millions de dollars en 2022. À ceci s’ajoute la rançon exigée qui peut se chiffrer en milliers, en centaines de milliers, voire en millions de dollars, selon l’importance de la violation. Alors qu’elles ne disposent que de budgets limités, principalement alimentés par l’argent des contribuables, les administrations publiques se retrouvent confrontées à des frais exorbitants, auxquels s’ajoute la pression du grand public qui demande à ce que le problème soit résolu le plus vite possible.

Infographie montrant que le coût moyen d’une attaque par rançongiciel réussie est de 4,54 millions par société, hors rançon, d’après le rapport 2022 sur les violations de données d’IBM.

Attaques commanditées par des États

Il s’agit d’attaques perpétrées par un État ou une nation contre les instances gouvernementales d’un autre pays pour faire du renseignement ou affaiblir les infrastructures essentielles.

Le secteur public est l’une des cibles le plus fréquemment touchées par les cyberattaques commanditées par des États en raison de l’impact que de telles actions peuvent avoir de nombreuses instances et ressources. C’est en effet souvent lui qui gère les infrastructures essentielles comme le réseau électrique, les systèmes de transport et les établissements de santé. La perturbation de tels services peut avoir des conséquences directes sur la défense nationale et la sécurité publique.

LeRapport sur la défense numérique de 2022 de Microsoft a révélé une hausse des cyberattaques menées par les gouvernements et dirigées contre des infrastructures essentielles : elles sont en effet passées de 20 % à 40 %, une augmentation qu’il faut en grande partie mettre sur le compte des actions russes contre les organes gouvernementaux de l’Ukraine et des opérations d’espionnage dirigées contre les alliés tels que les États-Unis. Dans un contexte géopolitique de plus en plus tendu, marqué par des conflits qui éclatent aux quatre coins de la planète, le secteur public doit impérativement se tenir en état d’alerte maximale pour anticiper ces graves menaces qui pèsent sur la sécurité nationale.

Citation de Stéphane Duguin, PDG du CyberPeace Institute, qui dit : « Tant qu’ils persistent à utiliser leurs ressources pour des cyberattaques d’espionnage, les États participent à l’insécurité générale dans le cyberespace. En effet, pour que ces opérations de renseignement soient efficaces, ils doivent veiller à entretenir certaines vulnérabilités. »

Phishing

Les attaques de phishing font peser une réelle menace sur le secteur public. Elles utilisent des techniques d’arnaque pour amener les employés à divulguer des informations sensibles. À l’ère du numérique, les canaux de communication sont très variés. Les cybercriminels n’hésitent pas à envoyer des e-mails ou des messages frauduleux dans lesquels ils se font passer pour des institutions de confiance. Les administrations publiques et tous les services qu’elles proposent deviennent les cibles privilégiées de campagnes de phishing réalisées sur mesure. Ces messages trompeurs, qui semblent officiels et urgents, cherchent à exploiter la tendance naturelle de l’être humain à faire confiance aux sources qu’il connaît.

Pourtant, les conséquences du phishing vont bien au-delà de la simple compromission de données. Après avoir obtenu l’accès à un système grâce au phishing, les cybercriminels poursuivent leur intrusion pour détourner des bases de données critiques. Il peut en résulter des usurpations d’identité, susceptibles de mettre en danger les employés, mais aussi la population au service de laquelle ils travaillent. Or, dans ce cas, les conséquences ne se cantonnent pas au domaine numérique : elles impactent des vies et compromettent l’intégrité des services destinés au public. En outre, les répercussions d’une attaque de phishing peuvent paralyser des services essentiels, toucher à des systèmes de santé qui manipulent des informations sensibles concernant les patients ou à des instances gouvernementales responsables de la sécurité publique.

Attaques DDoS ou par déni de service distribué

L’attaque DDoS est un autre danger qui menace sérieusement le secteur public et les données de citoyens innocents. Leur objectif est de rendre un service, une application ou un site Web indisponible en l’inondant de trafic malveillant. En perturbant les sites Internet gouvernementaux et les services en ligne, les attaquants ont la possibilité de semer la confusion parmi la population et de saper la confiance du public. Il faut souligner que les attaques DDoS perpétrées contre les instances gouvernementales ont augmenté de 177 % en 2023, principalement pour des raisons liées au contexte géopolitique.

Du fait de leur mission de maintien de l’ordre public et de réglementation, les agences gouvernementales peuvent devenir les cibles d’attaques DDoS menées par des personnes ou des groupes en représailles contre des actions du gouvernement qui leur ont porté préjudice. Lorsqu’elle aboutit, une attaque DDoS peut s’avérer désastreuse sur le plan économique et paralyser les activités et les services de l’État. Elle risque d’entraîner des pertes financières énormes, voire d’affecter la stabilité économique de la nation.

Graphique à barres montrant une augmentation de 177 % des attaques DDoS entre 2022 et 2023.

Hacktivisme

Lorsque des militants sociaux ou politiques basculent dans la cybercriminalité pour attirer l’attention sur leur cause, on parle d’hacktivistes. Mus par des motivations idéologiques, ils s’en prennent alors aux entités gouvernementales chargées de promulguer et de faire appliquer les lois et les réglementations, en particulier si celles-ci leur semblent aller à l’encontre de leurs convictions.

Parce qu’elles incarnent l’autorité et le pouvoir, les institutions publiques sont alors, naturellement, dans le collimateur des hacktivistes qui vont tenter de contester ou de s’opposer à certaines actions et valeurs du gouvernement. Outre les actes de pur vandalisme, les hacktivistes expriment généralement leur mécontentement en exigeant plus de transparence, en demandant que le gouvernement rende des comptes ou se plie à des principes d’éthique. Ils utilisent ainsi le cybermilitantisme comme une arme puissante pour non seulement redéfinir les discours sur le Web, mais aussi influer sur les réglementations et les actions dans le monde réel.

Vagues d’assaut cybernétiques : histoires d’attaques perpétrées contre le secteur public

Bien qu’impalpables, ces menaces implacables sont en perpétuelle évolution et ont des répercussions bien tangibles sur les instances publiques. Voici quelques exemples marquants de cyberattaques ayant touché différents domaines du secteur public.

Gros titres d’articles tirés de différents journaux relatant des attaques ayant frappé des entités du secteur public.

Des cyberattaques coordonnées ébranlent les gouvernements

Municipalités, régions et États : tous sont des victimes potentielles et peuvent être confrontés à des attaques dont les retombées seraient désastreuses, tant pour leurs employés, que pour le grand public. En France, l’Agence de sécurité des systèmes d’information (ANSSI) a recensé et traité 187 cyberattaques contre les collectivités locales entre janvier 2022 et juin 2023. Plusieurs villes, comme Chaville dans les Hauts-de-Seine, Brunoy, dans l’Essonne, ou même Annecy, ont ainsi été victimes d’attaques par rançongiciel qui ont paralysé toutes les démarches en ligne pendant plusieurs semaines. Les agents municipaux n’avaient plus accès à leurs comptes mail, le paiement des cantines scolaires et la gestion de l’accueil périscolaire se sont trouvées bloquées et les communes ne pouvaient plus passer de commandes, instruire de permis de construire ou délivrer des rendez-vous pour les démarches administratives. Certaines mairies ont dû s’adapter et revenir au papier et au crayon pour délivrer les certificats urgents comme les actes de naissance ou de décès.

Cette tendance s’impose de plus en plus et a déjà touché plusieurs pays dans le monde. En juillet 2023, le portail eCitizen du Kenya a été mis hors service par une cyberattaque, paralysant plus de 5 000 services en ligne du gouvernement. Les usagers n’avaient plus accès aux demandes de passeports, de visas touristiques, de permis de conduire, de cartes d’identité ni aux dossiers de santé, tandis que les services de banque en ligne et de transport ont été interrompus. Cet assaut de cybercriminalité a été revendiqué par un groupe de cybercombattants soudanais baptisé « Anonymous Sudan » : celui-ci a averti qu’il s’en prendrait à toute personne qui tenterait de s’interposer dans les affaires internes du Soudan.

Des groupes scolaires aux prises avec une cybercriminalité qui maîtrise des techniques de pointe

Le système éducatif a, lui aussi, fait les frais de cyberattaques menées par des hackers désireux d’amasser de grandes quantités de données et de gagner en influence. Au début de l’année universitaire 2022/2023, les six établissements de l’Institut National Polytechnique de Toulouse ont été frappés par une cyberattaque de grande ampleur impliquant le rançongiciel AvosLocker et menaçant les données de 6 400 étudiants et de 17 laboratoires de recherche. Les pirates ont réussi à pénétrer sur le réseau via le compte d’un étudiant, depuis une plateforme insuffisamment sécurisée de l’école de chimie et ont ainsi pu déployer leur arsenal à l’ensemble des sites du complexe universitaire. Une rançon, dont le montant n’a pas été communiqué, a été exigée, mais l’établissement s’est dit résolu à ne pas céder au chantage. En mai 2023, Toulouse INP était encore aux prises avec les conséquences de cette cyberattaque.

Quelques mois plus tard, le 4 décembre 2022, c’est au tour de l’IUT Paris-Rives de Seine d’annoncer qu’un rançongiciel avait été déclenché sur ses serveurs, entraînant la perte de toutes ses données. L’attaque est revendiquée par le groupe Vice Society, qui semble s’être spécialisé dans les attaques contre les établissements d’enseignement du monde entier. Dans son tableau de chasse, figurent notamment la Xavier University (États-Unis), l’Université Catholique du Portugal, l’Institut des Sciences et Technologies d’Autriche, Baygarth School (Royaume-Uni), etc. Le groupe incite les écoles frappées par ses attaques à publier des déclarations officielles pour assurer les familles que leurs données sont protégées. Face à ce type d’incidents, les groupes scolaires se trouvent contraints d’improviser, au détriment de leur mission d’éducation, des solutions de fortune qui, trop souvent, sont insuffisantes et arrivent trop tard.

Des soins de santé interrompus par des tentatives de piratage

Lorsque les établissements de soin de santé sont victimes de cybercriminels, la pression monte d’un cran, étant donné le volume considérable de données sensibles à caractère personnel qui est concerné, et la nécessité impérative de continuer à assurer les soins sans interruption. En 2021, une attaque par rançongiciel a paralysé l’hôpital St. Margaret’s Health à Spring Valley, dans l’Illinois. Suite à l’attaque, le système de paiement a été mis hors ligne pendant des mois, ce qui a entraîné des retards dans la facturation des traitements médicaux pour les patients, avec un impact économique significatif sur l’établissement. Cette situation a contraint l’hôpital à fermer définitivement ses portes en juin 2023 : c’est dire l’impact désastreux que des cyberattaques peuvent avoir sur les établissements de soins de santé.

Le profil alarmant des attaques contre les prestataires de soins de santé reprend le modèle du rançongiciel WannaCry qui avait infecté les utilisateurs de Microsoft Windows dans le monde entier, en 2017. Le système de santé publique du Royaume-Uni (NHS) compte parmi les plus importantes organisations touchées par cette attaque avec jusqu’à 70 000 ordinateurs et dispositifs médicaux mis hors service dans tout le Royaume-Uni. Certains services ont dû réaffecter des ambulances et renvoyer chez eux des patients qui ne présentaient pas d’urgence vitale. Au total, cette situation a coûté 92 millions de livres sterling (près de 107 millions d’euros) au NHS et les pertes liées à l’annulation de certains services et aux efforts de restauration des systèmes informatiques étaient considérables.

Stratégies pour protéger votre structure des attaques

Ces exemples illustrent les conséquences désastreuses que peuvent avoir les cyberattaques dirigées contre le secteur public et l’urgence absolue qu’il y a à protéger ces entités. Les stratégies proposées ci-dessous constituent un arsenal dynamique visant à protéger les instances publiques face aux progrès inexorables des menaces cyber et à augmenter la résilience des systèmes essentiels.
  1. Formation de sensibilisation à la cybersécurité : veillez à ce que tous les membres de l’équipe reçoivent des formations régulières sur l’importance de la cybersécurité, les menaces actuelles et les meilleures pratiques. Appuyez-vous sur des exemples concrets et sur des simulations, et assurez-vous que chaque personne est consciente du rôle qu’elle a à jouer dans la protection des données de l’entité.
  2. Authentification multifacteur (MFA) : mettez en place une authentification MFA pour tous les systèmes, et tout particulièrement pour les comptes avec des accès privilégiés. Ce bouclier supplémentaire permet de bloquer efficacement les accès non autorisés, même en cas de compromission des identifiants de connexion.
  3. Sécurité au niveau des terminaux : optez pour une plateforme de protection des terminaux (EPP) perfectionnée, une solution bien plus efficace que les antivirus traditionnels. Ces plateformes assurent un suivi en temps réel, une détection des menaces et une réponse automatisée en cas d’activité suspecte.
  4. Segmentation du réseau : isolez les données sensibles en segmentant votre réseau. Grâce à cette précaution, même si des attaquants parviennent à s’infiltrer dans une partie du réseau, ils auront beaucoup de mal à compromettre les systèmes ou les données critiques.
  5. Mises à jour et correctifs réguliers : assurez la sécurité de l’ensemble des systèmes, applications et dispositifs en prenant l’habitude de les mettre à jour régulièrement avec les derniers correctifs de sécurité. Pour vous simplifier la tâche, vous pouvez avoir recours à des solutions automatisées de gestion des correctifs.
  6. Plan d’intervention en cas d’incident : développez un plan détaillé d’intervention en cas d’incident et mettez-le systématiquement à jour. Organisez régulièrement des exercices de sécurité pour que chaque personne connaisse précisément son rôle et ses responsabilités en cas de violation de données.
  7. Back-up et restauration des données: sauvegardez régulièrement les systèmes et les données critiques, et stockez vos back-ups en local, ainsi que sur une solution de stockage externe. Testez régulièrement la procédure de restauration des données pour garantir l’intégrité des données et leur disponibilité.
  8. Architecture Zero Trust: adoptez une infrastructure Zero Trust où chaque demande d’accès est soumise à un contrôle minutieux, quelle que soit son origine. Cette approche réduit les risques de menaces internes et de violations résultant d’une compromission des identifiants de connexion.
  9. Analyses régulières de la vulnérabilité : procédez régulièrement à des analyses de la vulnérabilité et à des tests de pénétration pour identifier les faiblesses de vos systèmes et de vos applications. Remédiez rapidement à toute vulnérabilité que vous identifiez pour assurer une solide défense.
  10. Collaboration et partage d’informations : dans le contexte du secteur public, jouez la carte de la collaboration avec d’autres entités gouvernementales. Le partage de renseignements et de bonnes pratiques peut permettre de donner l’alerte à temps, en cas de menace, et de bâtir une défense collective contre les dangers fréquents, mais aussi contre ceux qui émergent.

Le secteur public en alerte : quelle aide vous apporte SoSafe ?

Confrontés à une véritable avalanche de menaces cyber, les organismes publics ne peuvent pas, avec les budgets limités et les équipes en sous-effectifs qui sont les leurs, mener seuls ce combat. Au sein du paysage numérique actuel, il devient indispensable de former à la cybersécurité pour mettre en place une stratégie de défense collective contre des risques cyber en perpétuelle évolution.

La vision de SoSafe est de proposer une formation à la cybersécurité plus simple et plus stimulante. Notre plateforme d’apprentissage en ligne offre des expériences gamifiées qui enrichissent les connaissances des utilisateurs et renforcent les défenses des entités en matière de cybersécurité.

La formation et la sensibilisation au phishing peuvent en particulier être d’une grande utilité au sein des gouvernements, des écoles et des établissements de santé. Les messages d’arnaques sont, en effet, souvent un dénominateur commun des cyberattaques qui parviennent à impacter le secteur public. Nous proposons des modèles de simulations de phishing spécialement conçus pour les administrations publiques et fondés sur des scénarios réels. Ils permettent de mieux connaître, concrètement, ces menaces, et amènent les employés à adopter des comportements en ligne de plus en plus prudents et réfléchis. Les incidents sont mieux signalés et la réactivité augmente, ce qui se traduit par une meilleure maîtrise des risques au sein du secteur public.

Pour aider les organismes publics à prendre des décisions éclairées en matière de cybersécurité, SoSafe propose un outil de pilotage des risques cyber et des alertes qui enregistre le comportement des employés et fournit des informations directement exploitables pour améliorer encore la culture de la cybersécurité au sein des équipes. Plus les employés du secteur public ont conscience des dangers, plus ils sont en mesure de détecter les menaces et de leur faire barrage avant qu’il ne soit trop tard.

Les outils spécialisés de SoSafe pour la sensibilité à la cybersécurité et la gestion des risques peuvent aider votre structure à se prémunir contre les risques et à instaurer une culture de la sécurité plus solide et plus efficace.

https://sosafe-awareness.com/fr/blog/top-5-des-menaces-cyber-ciblant-le-secteur-public/