Risques cyber : aucune accalmie en 2022 pour les collectivités
Le panorama de la cybermenace 2022 établi par l'Anssi fait état d'une décrue relative des cyberattaques. Les collectivités territoriales n'en ont cependant pas bénéficié. De son côté, l'association Déclic en a dénombré plus de 160 en quatre ans touchant tous types de collectivités.
"Un niveau général qui reste élevé", une menace qui "se déporte sur des entités moins bien protégées" et "une diminution du nombre d’attaques par rançongiciel" mais pas de l’espionnage. Telles sont les principales tendances que relève l’Agence nationale pour la sécurité des systèmes d’information (Anssi) dans son panorama 2022 des cybermenaces. Un millésime qui semble avoir été peu impacté par le conflit russo-ukrainien même si l’agence note "des attaques par déni de service distribué, par sabotage informatique ainsi que des opérations informationnelles s’appuyant sur des compromissions de systèmes d’information". Elle s’inquiète cependant d’une possible recrudescence des attaques sur des infrastructures énergétiques pour l’année à venir.
Un quart des attaques concerne les collectivités
Les collectivités territoriales n’ont cependant pas profité de la relative accalmie évoquée par l’Anssi, avec une vague de rançongiciels particulièrement virulente pendant l’automne 2022. Plus d’un quart des 102 attaques par rançongiciel sur lesquelles l’Anssi a été amenée à intervenir concerne en effet des collectivités, qui arrivent juste derrière les TPE-PME-ETI (40%) et devant les établissements de santé (10%). "Ces attaques parfois destructrices perturbent notamment les services de paie, le versement des prestations sociales et la gestion de l’état civil. Passé la découverte de l’attaque, le fonctionnement de ces entités continue d’être dégradé le temps de la reconstruction, affectant durablement les services à destination des administrés", détaille l’agence.
Usages numériques non maîtrisés
Pour l’Anssi, l’origine de ces attaques est étroitement liée au manque de culture cyber dans les collectivités et TPE-PME. Elle déplore "des usages numériques non maîtrisés et des faiblesses dans la sécurisation des données". Elle incrimine aussi le recours au cloud et à l’externalisation sans que ces modes opératoires soient encadrés par des "clauses de sécurité adaptées". Enfin elle note un manque de réactivité dans l’application de patchs permettant de remédier à des failles de sécurité. On rappellera que celles-ci sont relayées depuis peu par le Cert - le centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques - par certaines associations d’élus. L'Anssi exhorte les entités publiques et privées de toutes tailles à "prendre conscience du risque cyber à son juste niveau en adoptant les bonnes mesures pour se protéger", renvoyant vers ses guides d’hygiène informatique.
160 attaques répertoriées par Déclic
Si l’Anssi ne fournit pas de détails sur les cyberattaques touchant les territoires, l’association Déclic a produit une carte, mise à jour régulièrement par ses membres, permettant d’avoir une vision de la sinistralité par type de collectivité. La fédération des opérateurs publics de services numériques (OPSN) a répertorié pas moins de 161 attaques de collectivités ces quatre dernières années. La carte montre qu’aucun territoire ou niveau de collectivité n’est épargné. Parmi les victimes, on compte près de 78 communes, 34 EPCI, 32 établissements de santé (CHU, hôpitaux, Ephad…), 8 départements, 4 régions et 4 services d’incendies et de secours. "Cette carte a d’abord une vocation pédagogique, beaucoup d’élus ne se sentant pas concernés par les cybermenaces", nous explique Emmanuel Vivé, président de Déclic. Une carte qui a le mérite de montrer l’ampleur des cyberattaques même si elle est loin d’être exhaustive puisque les informations renseignées reposent sur les seules attaques ayant fait l’objet d’une publicité dans la presse.
Pour répondre au besoin de protection cyber des petites communes passées entre les gouttes des "parcours cyber" du plan de relance, l’Anssi a lancé un appel à projets en mars 2022. Celui-ci ciblait les structures de mutualisation pour leur permettre d’acheter des systèmes de protection et de les redistribuer aux communes. "Une vingtaine d'opérateurs publics de services numériques (OPSN) ont répondu et au total quelque 11.000 petites communes vont pouvoir bénéficier d’outils de protection", détaille Emmanuel Vivé. Mais début 2023, seulement trois OPSN ont commencé à déployer ces outils (gestionnaires de mots de passe, authentification, antivirus de dernière génération, sauvegardes sécurisées…). "Pour répondre à l’appel à projets de l’Anssi, les OPSN ont dû proposer une solution. Mais après avoir été lauréat de l’appel à projets, il leur a fallu lancer un appel d’offres. Or la solution retenue ne correspondait pas forcément à celle envisagée, ce qui a nécessité une seconde validation de l’Anssi", explique le président de Déclic. Côté audit cyber, on notera enfin que Soluris a financé dans le cadre du plan de relance un outil (développé avec des logiciels libres) permettant à des collectivités petites ou moyennes de réaliser rapidement un diagnostic de vulnérabilité et de conformité au référentiel général de sécurité (RGS) de leur système d’information. |