L'Anssi décrypte les cyberattaques subies par les collectivités territoriales

187 incidents subis par des collectivités territoriales, soit 10 par mois en moyenne, ont été déclarés à l'Anssi entre janvier 2022 et juin 2023. Si les rançongiciels constituent la menace la plus sérieuse aujourd'hui, l'agence s'inquiète des risques de sabotage d'infrastructures dans la perspective des Jeux olympiques.

En France, comme en Europe (voir ci-dessous), les administrations figurent en tête des victimes de cyberattaques. Les collectivités représentent ainsi 17% des incidents gérés par l'Anssi selon une note publiée fin octobre 2023 faisant le bilan des cyberattaques s'étant produites entre janvier 2022 et juin 2023. Si tous les types de collectivités ont été attaqués, l'agence note une surreprésentation relative des départements (40% ont été attaqués) et des régions (12 incidents). L'agence signale également les effets démultiplicateurs de la mutualisation des services numériques entre collectivités qui peuvent aboutir à la paralysie d'un territoire.

Des rançongiciels aux conséquences coûteuses

Les attaques à visée lucrative, qui passent essentiellement par des rançongiciels, constituent la principale menace cyber pour les collectivités territoriales. Ces dernières sont, souligne l'Anssi, des "cibles de choix" pour les pirates qui profitent de services "mal sécurisés", "disparates" et utilisent les données personnelles récupérées à l'occasion de l'intrusion pour accentuer leur chantage. Au total, l'agence a eu à traiter sur la période considérée 42 attaques par rançongiciel, dont 18 par le malware Lockbit. L'agence relève le caractère coûteux et chronophage de ces attaques. Une collectivité a ainsi mis plus de quatre mois à reconstruire totalement son système d'information, l'obligeant à assurer ses services en mode dégradé pendant ce laps de temps. L'agence rappelle au passage que les sauvegardes déconnectées du réseau et l'existence d'un plan de reprise d'activité peuvent atténuer sensiblement les effets d'une attaque par rançongiciel. Ces attaques ont par ailleurs des effets de bord, sur les collectivités avec qui la victime partage certaines applications et sur les usagers, les mails récupérés par les attaquants étant utilisés pour mener des campagnes d'hameçonnage. Un groupe cybercriminel a ainsi exfiltré 1,3 To de données personnelles d'une collectivité, une partie des données étant publiée en ligne sur le dark net. Ces campagnes de phishing sont également une des conséquences des compromissions de messageries observées dans 51 collectivités.

Menaces étatiques à prendre au sérieux

Les collectivités subissent ensuite des attaques à but de déstabilisation, certaines étant menées par des hacktivistes, d'autres étant guidées par un acteur étatique dans un objectif de sabotage. Les premiers pratiquent surtout la défiguration de site internet, souvent liée à un événement géopolitique comme la guerre en Ukraine. Si elles ne sont pas d'une grande sophistication, l'Anssi note "qu'elles portent atteinte à l'image de ces collectivités et peuvent susciter la crainte chez leurs administrés". Sur le volet sabotage, l'agence relève que ce type d'attaque est pour le moment "rare", sans mentionner de cas précis. Elle appelle cependant à les prendre "au sérieux" dans la perspective de l'organisation des Jeux olympiques et paralympiques de 2024. A titre de mise en garde, elle relate l'attaque dont la ville de Téhéran (Iran) a été victime en juin 2022. Les cyberattaquants avaient alors réussi à mettre à l'arrêt 5.000 caméras de vidéoprotection et à prendre le contrôle de la plateforme d'envoi de SMS de la capitale iranienne, leur permettant l'envoi de 600.000 messages politiques. L'Anssi note enfin que les collectivités peuvent intéresser des cyberattaquants par les équipements numériques qu'elles gèrent, ces infrastructures pouvant être utilisées comme relais pour camoufler des opérations d'espionnage sur une cible tierce. Elle appelle les collectivités à sécuriser leurs équipements périphériques tels que les routeurs.

L'Enisa s'inquiète des risques liés à l'IA générative

Les statistiques de l'Anssi font écho à celles de l'Enisa. Dans son bilan 2023 des cybermenaces, l'agence européenne de la cybersécurité relève 2.580 incidents sur la période juillet 2022-juin 2023, dont 30% ont ciblé des administrations publiques. Les rançongiciels représentent un tiers des incidents, suivis par les attaques en déni de service (DDos) et les atteintes aux données. L'agence s'inquiète par ailleurs de l'apparition de nouvelles menaces issues de l'intelligence artificielle générative. Des outils tels que ChatGPT peuvent en effet être utilisés pour rendre les campagnes d'hameçonnage – considérées comme la mère de la plupart des cyberattaques – encore plus personnalisées et crédibles. Elle s'inquiète aussi des possibles tentatives "d'empoisonnement" des bases de données de ces IA pour générer de fausses informations.

 

Abonnez-vous à Localtis !

Recevez le détail de notre édition quotidienne ou notre synthèse hebdomadaire sur l’actualité des politiques publiques. Merci de confirmer votre abonnement dans le mail que vous recevrez suite à votre inscription.

Découvrir Localtis