Cybersécurité : Cybermalveillance promet un accompagnement adapté pour les petites collectivités
À l’occasion de la présentation de son rapport annuel, le GIP Acyma a annoncé qu’il accompagnerait les petites collectivités dans le cadre du plan de relance, l’Anssi se concentrant sur les grandes structures publiques. Imposée par une sinistralité 2020 en hausse dans les petites structures, cette prise de relais n’a cependant pas été détaillée.
"Avec le confinement la plateforme a été submergée de demandes d’aides de petites collectivités pas du tout préparées à la généralisation du télétravail" a confié Jérôme Notin, directeur général d’Acyma (Action contre la cybermalveillance), le groupement d'intérêt public (GIP) en charge de la plateforme cybermalveillance.gouv.fr, à l'occasion de la présentation du rapport annuel du groupement le 15 avril 2021. La courbe de fréquentation du site a du reste connu deux pics de fréquentation collant parfaitement aux confinements du printemps et de l’automne 2020, signe que la crise sanitaire a profité aux cybercriminels. Et si les collectivités ne représentent que 2% des demandes d’assistance traitées par la plateforme, il atteint plus de 1.300 demandes en valeur. Un chiffre jugé "très significatif" eu égard au nombre de collectivités et à la notoriété très relative de la plateforme auprès des élus.
Des attaques souvent liées
Sans surprise, les rançongiciels arrivent en tête des attaques impactant les collectivités (19%), devant le piratage de systèmes (13%), de comptes (10%) et l’hameçonnage (9%), ces deux dernières préparant souvent une attaque par rançongiciel. L’hameçonnage est passé "de l’artisanat à la professionnalisation" note le GIP, les messages truffés de fautes d’orthographe laissant place à des courriels où il est difficile de déceler le faux du vrai. L’hameçonnage est également de plus en plus pratiqué par SMS, rendant encore plus difficile sa détection et son contrôle. Le piratage de comptes de messagerie électroniques a enfin des effets particulièrement dévastateurs en donnant accès aux cybercriminels à des informations confidentielles (coordonnées bancaires, mots de passe, documents …), susceptibles d’alimenter de nouvelles attaques.
1.000 demandes d'aide sur des rançongiciels
Cybermalveillance confirme ensuite les nouveaux modes opératoires des rançongiciels, objets de plus de 1.000 recherches d’assistance sur la plateforme (entreprises et collectivités), en croissance de 54% par rapport à l’an dernier. À l’origine de ces attaques, des intrusions dans le système d’information imputables à des failles logicielles, des mots de passe insuffisamment sécurisés ou encore à un hameçonnage. Pilotés par de grandes organisations criminelles, les attaques par rançongiciel d’entreprises ou de collectivités sont souvent précédées d’un vol de données afin de renforcer la pression sur les victimes ou d’exiger une nouvelle rançon quelques mois après une première attaque. "Si la France est particulièrement ciblée par les rançongiciels, c’est qu’il semble que certains paient la rançon" a expliqué Jerôme Notin. Une réflexion est du reste en cours à Bercy pour tenter d’interdire ce type de transaction, en empêchant notamment les assureurs d’intégrer ce risque à leurs contrats.
Des prestataires labellisés pour les organisations
Pour améliorer son dispositif d’aide aux victimes, le GIP a modernisé son site et clarifié les parcours entre professionnels et particuliers, dont les problématiques sont extrêmement différentes. Les entreprises et collectivités se voient ainsi désormais proposées des prestataires "labellisés" (pour deux ans), au nombre de 55 pour le moment, les autres sociétés étant simplement "référencés" (un millier de prestataires). La mise en relation est par ailleurs facilitée, avec des réponses de prestataires qualifiés pour le problème rencontré par la victime "souvent en moins d’une heure". Une rubrique a par ailleurs été ajoutée pour orienter les entités souhaitant trouver un accompagnement en matière de sécurisation de leur système d’information.
Partage des rôles avec l’Anssi
Les mois à venir seront ensuite marqués par un enrichissement de l’offre de services à destination des collectivités territoriales. En 2020 une première étape a été franchie avec plusieurs opérations de sensibilisation menées en partenariat avec la fédération Déclic, le CoTer Numérique, l’Anssi et le ministère de l’Intérieur. Des témoignages d’élus victimes de cyberattaques, des vidéos produites avec le concours de la Banque des territoires sur les thèmes du piratage, des rançongiciels ou des fuites de données ont complété le guide cybersécurité réalisé par l’AMF et l’Anssi (voir notre article du 24 novembre 2020). En 2021, un financement issu du plan de relance gouvernemental va permettre au GIP de renforcer son offre à destination des collectivités territoriales. En clair, le GIP hérite de l’accompagnement des "petites collectivités", l’Anssi se concentrant sur les "grandes collectivités".
Un parcours complexe
"Cette prise en compte des besoins des petites collectivités est une bonne nouvelle mais on regrette la multiplication des interlocuteurs entre les délégués Anssi en région, le siège de l’agence (compétent sur les incidents majeures) et maintenant cybermalveillance", commente-t-on à l’Avicca. La ligne de partage des rôles entre ces différents interlocuteurs est en effet loin d’être claire et le "parcours victime" s’avère complexe pour des élus de petites collectivités réputés peu sensibles aux questions informatiques. Selon l’Avicca, l’information aurait également du mal à descendre côté État, si l’on en croit ces collectivités victimes de cyberattaques dont l’antenne de gendarmerie locale aurait refusé de prendre en compte leur plainte. Du côté du GIP, on concède que le plan d’action dédié aux collectivités n’est pas encore stabilisé, des négociations avec l’Anssi étant toujours en cours.
La sinistralité à travers le prisme des demandes d’aide ne dit pas grand-chose de la gravité des attaques. Elle ne dit rien non plus des menaces émergentes qui s'accommodent mal des statistiques. Pour le moment par exemple, aucune attaque conséquente n’est remontée au GIP Acyma concernant des objets connectés ou des "smart services". "Cela ne veut pas dire qu’il n’y en a pas eu", souligne Jérome Notin. Entre la possibilité qu’elles n’aient pas été repérées et le manque d’empressement de certaines victimes à les rendre publiques, les chiffres de la cybersécurité sont à prendre avec précaution. C’est du reste la raison pour laquelle Cybermalveillance a aussi dans ses missions la veille, pour aider à repérer ces nouvelles menaces, à les comprendre et à mieux les anticiper. |