Le sujet des cyberattaques dans l’administration française est actuellement très prégnant, du fait de l’augmentation des cas. Mais des moyens sont mis en œuvre pour les contrer. Après avoir fait un état des lieux des menaces et des motivations des attaquants, puis des conséquences potentielles de ces attaques, nous nous intéresserons aux outils et moyens de défense mis en place pour les prévenir ou les déjouer.
Par Flore Thumm
« Une cyber-attaque est une atteinte à des systèmes informatiques réalisée dans un but malveillant », peut-on lire sur le site du gouvernement français. Entreprises, institutions ou individus peuvent être touchés par ces d’attaques. Les motivations des pirates sont diverses : un hacker isolé peut agir pour démontrer ses compétences, un groupe organisé peut monnayer ses services pour déstabiliser des entreprises ou institutions, ou revendre des informations, comme FIN7, un groupe cybercriminel initialement spécialisé dans les attaques de systèmes d’informations bancaires. On se penchera ici plus particulièrement sur les cyberattaques dans les administrations françaises, afin de tenter de comprendre les tenants et aboutissants de ces menaces dans la sphère publique. Et, bien sûr, on verra quels dispositifs et outils sont utilisés pour les contrer.
Ce contenu est réservé aux abonnés
Cyberattaques et collectivités territoriales
« Depuis le début de la crise du Covid-19 […], on assiste à une augmentation sans précédent des cyberattaques touchant les collectivités territoriales françaises (régions, départements, communes, communautés de communes, etc.). Toutefois, ces dernières sont souvent occultées par celles qui affectent les établissements de santé du fait de leurs conséquences potentiellement dramatiques », constate Rémy Février, dans un article publié le 14 décembre dernier dans The Conversation. Selon l’auteur, beaucoup d’attaques sont faites en vue de demander une rançon. Si les conséquences financières sont évidentes, il en est d’autres tout aussi préjudiciables. Rémy Février rappelle que l’administration électronique est devenue « un outil stratégique de service public » : les conséquences des attaques peuvent donc aussi avoir des impacts politiques et sociaux, du fait de vols de données des citoyens, de perte de confiance en l’institution, ou même de crédibilité car les procédures d’appels d’offres sont généralement dématérialisées.
Le cas des hôpitaux français
Cédric O, interrogé par Europe 1 le 19 février 2021, affirmaitque la cybermenace avait été multipliée par quatreen 2020 et que les hôpitaux étaient « la partie la plus frappante, représentant un peu plus d’une attaque sur dix en 2020 (11 %). » Cette dynamique ne s’est malheureusement pas interrompue. Plusieurs hôpitaux français ont ainsi été touchés en 2022. On peut notamment citer l’hôpital André-Mignot, situé au Chesnay-Rocquencourt dans les Yvelines, visé par une cyberattaque le 3 décembre. Tous ses ordinateurs ont été bloqués. La rançon demandée par les cybercriminels n’a pas été payée, tout comme lors de l’attaque qui a touché l’hôpital de Corbeil-Essonnes quelques mois plus tôt, en août. Les hôpitaux sont des cibles de choix, notamment car ils possèdent quantité d’informations personnelles. C’est pourquoi l’Agence du numérique en santé, qui dépend du Gouvernement, affirme dans une note publiée récemment sur son site officiel vouloir réaliser un plan pluriannuel dès 2023, et « réaliser régulièrement des audits et exercices de crise ».
Quelles motivations ?
Les cyberattaques les plus fréquentes sont les attaques par rançongiciel, selon un rapport de la Commission nationale de l’informatique et des libertés (CNIL) paru en mai 2022 : il s’agit de l’installation de programmes malveillants qui empêchent la victime d’accéder à ses données. Les données de la victime sont chiffrées, et il lui est demandé une rançon contre une clé de déchiffrement. Les problèmes générés par ce genre de menaces ont intégré le débat public : en témoigne par exemple l’émission de France Culture du 24 avril 2022, nommée « Cybersécurité : quelles sont les nouvelles cibles et pourquoi ? », où l’ampleur des attaques par rançongiciels a été évoquée, notamment sur les entreprises de santé.
Pour Christine Dugoin-Clément, il y a plusieurs cas de figure. L’attaque peut consister en la récupération de données de santé de quelqu’un de connu, pour le contraindre à certaines décisions. Elle peut aussi avoir pour but une usurpation d’identité complète, car cela a un prix sur le dark web, et peut favoriser l’achat de matériel médical, d’ordonnances, ou encore les escroqueries aux assurances. Enfin, l’attaque peut être orchestrée dans le but de faire pression sur quelqu’un pour récupérer des informations ou des biens tangibles. Julien Nocetti, interrogé dans la même émission, explique que l’Agence nationale pour la sécurité des systèmes d’information (ANSSI) insiste sur le fait qu’il ne faut pas payer de rançon car, dans la plupart des cas, les données volées ne sont jamais restituées.
Pour lutter contre ces menaces de rançongiciel, l’ANSSI, dans son Massive Open Online Course (MOOC) sur la cybersécurité, préconise de sauvegarder régulièrement ses données, de vérifier les expéditeurs des courriels, d’utiliser un antivirus à jour, de ne pas ouvrir de pièces jointes en cas de doute sur leur légitimité, et de ne rien télécharger en provenance de plateformes douteuses. Plutôt que de payer une rançon, elle préconise de débrancher son câble réseau rapidement afin d’éviter la propagation de l’attaque.
Les institutions spécialisées françaises
Des institutions spécialisées ont pour vocation d’aider les organismes du secteur public et les entreprises à lutter contre ces menaces. Par exemple, les Computer Emergency Response Team (CERT) ont été créés en 1999 pour les assister dans la mise en place des moyens de protection nécessaires, et les aider à répondre aux incidents ou aux attaques informatiques. Il existe également le réseau des Computer Security Incident Response Team (CSIRT), qui ont vocation à aider les organismes régionaux, dont les collectivités territoriales, et de les mettre en relation avec des partenaires de proximité qui s’occupent des réponses à apporter aux incidents.
Plus connue, l’Agence nationale de la sécurité des systèmes d’information a vu le jour en juillet 2009. Elle a entre autres pour mission de contribuer à la sécurité de la société de l’information, par exemple en participant à la recherche et au développement des technologies de sécurité et à leur promotion. Son centre de cyberdéfense, créé en février 2014, s’occupe notamment d’effectuer une veille sur les menaces cyber et d’alerter les autorités et les victimes.
Le rôle de la CNIL n’est pas non plus à négliger, puisqu’en assurant le respect du Règlement général sur la protection des données (RGPD), elle contribue à réduire le risque de vol de données. Dans le guide pratique du RGPD, les quatre domaines d’intervention de la CNIL sont détaillés : elle a pour rôles d’informer et de protéger les droits, en répondant aux demandes des particuliers et des professionnels ; d’accompagner la mise en conformité et de conseiller, en aidant les entreprises et les institutions à suivre les prescriptions au RGPD ; d’anticiper et d’innover, en assurant une veille ; et de contrôler, et sanctionner si besoin via des mises en demeure ou des amendes.
Le DPO dans les collectivités locales, et le pouvoir de la CNIL
Certains organismes, comme les collectivités locales, se doivent de désigner un Délégué à la protection des données (DPO), acteur clé du système de gouvernance des données personnelles. Dans un article publié le 31 mai 2022 sur le site de la CNIL, on peut lire que l’institution a mis en demeure 22 communes n’ayant pas désigné de DPO. En effet, c’est obligatoire pour les collectivités locales car, comme expliqué sur le site, « le délégué à la protection des données joue un rôle essentiel dans la conformité des traitements de données mis en œuvre par les autorités publiques ». Il peut être un agent de l’organisme ou un acteur extérieur, qui signe un contrat de services. Il doit savoir allier expertise technique et connaissance juridique.
La coopération public-privé
La coopération public-privé peut aussi être une solution pour lutter contre les cyberattaques. Nombre de cabinets de conseils sont spécialisés en cybersécurité, et les administrations publiques peuvent y avoir recours. En mai 2020, le directeur général de l’ANSSI, Guillaume Poupard, expliquait qu’un travail était fait autour de la qualification des prestataires de service. Dans les domaines de l’audit, de la détection et de la réponse à incident, l’ANSSI est en train d’élaborer un référentiel, Prestataires d’administration et de maintenance sécurisées (PAMS), visant à faire connaître les prestataires qualifiés dans le domaine. Il « vise à apporter aux commanditaires les garanties nécessaires, tant en termes de sécurité que de confiance à accorder aux prestataires qui les réalisent ».
La stratégie nationale d’accélération pour la cybersécurité, lancée en 2021 et inscrite dans le plan d’investissement France 2030, mise beaucoup sur cette coopération public-privé. Le but est de tripler le chiffre d’affaires du secteur cyber d’ici 2025, développer des solutions innovantes de cybersécurité, et renforcer les synergies entre acteurs de la filière.
Des moyens de lutte à l’international
En 2013, le Centre européen de lutte contre la cybercriminalité (European Cybercrime Centre [EC3]) est constitué au sein d’Europol. Il a pour objet de faciliter la coopération entre États européens dans la lutte contre le cybercrime. Par ailleurs, l’Integrated Political Crisis Response (IPCR) a été créée pour aider les dirigeants à gérer les périodes de crise. Ainsi, la présidence du Conseil réunit les acteurs clés, notamment ceux des institutions de l’Union européenne et des États membres touchés, afin d’assurer la coordination et de remédier aux insuffisances.
En outre, toujours au niveau mondial, l’Internet Corporation for Assigned Names and Numbers (Icann), société non lucrative soumise au droit californien, encadre les noms de domaine ou le fonctionnement des adresses IP et peut les suspendre. Mais l’éducation et une bonne application des règles de cyberhygiène par les citoyens sont aussi des solutions.
Lutter par l’éducation et la cyberhygiène
En 2022 a été créé le Campus Cyber, projet initié par le Président de la République. Il vise à fédérer la communauté de la cybersécurité et à développer des synergies entre les différents acteurs. Il permet d’accueillir sur un même site des entreprises, des services d’État, des organismes de formation, des acteurs de la recherche et des associations. Le Monde informatique, dans un article datant du 6 mai 2022, explique que dans le cadre d’une convention signée avec le Campus Cyber, l’Éducation nationale s’engage avec ce dernier dans la sensibilisation et la formation des élèves et professeurs de lycées aux enjeux de cybersécurité. C’est d’autant plus nécessaire que nous sommes dans un contexte de pénurie de talents dans ce domaine.
La démocratisation des pratiques de cyberhygiène ne peut qu’améliorer les moyens de défense des citoyens, et par là-même freiner le développement des cyberattaques dans les administrations françaises. Ainsi, l’ANSSI et la CNIL ont réalisé deux MOOC accessibles en ligne pour le grand public, sur le thème de la cybersécurité et du RGPD, et réalisent régulièrement des guides également consultables en ligne sur ces thèmes. Dans le MOOC de l’ANSSI, il est notamment expliqué comment sécuriser ses mots de passe : il faut de préférence qu’ils comportent des suites de lettres ne formant pas un mot du dictionnaire, et qu’ils soient composés de lettres, de chiffres et de caractères spéciaux ; il ne pas utiliser un même mot de passe pour plusieurs usages, et on doit en changer régulièrement. Il est possible d’utiliser un gestionnaire de mots de passe, une application qui les stocke pour ne pas avoir besoin de les mémoriser.
Le point de vue d’un auteur
L’auteur de Cyberdéfense et Cyberpuissance au XXIe siècle, Guy-Philippe Goldstein, explique que « poser la question du risque de réputation, principal enjeu des cyberincidents, c’est en fait poser celle de la confiance ». Il cite le Centre national de ressources textuelles et lexicales (CNRTL), qui décrit la confiance comme étant une « croyance spontanée ou acquise en la valeur morale, affective, professionnelle… d’une autre personne, qui fait que l’on est incapable d’imaginer de sa part tromperie, trahison ou incompétence ». Pour la protéger, Guy-Philippe Goldstein liste plusieurs mesures possibles. Par exemple, nommer un responsable de la cybersécurité et lui allouer un budget, pour qu’il assure la coordination d’une politique protectrice de cybersécurité d’un point de vue technique, mais aussi pour qu’il formalise un plan de réponse à incident. Autre mesure, demander à l’ensemble des membres d’un organisme de respecter la politique de cyberhygiène ; l’aspect interdisciplinaire et transformationnel de la cybersécurité impliquerait que l’ensemble des autres lignes de métiers et divisions fonctionnelles d’une institution ou d’une entreprise intègrent une nouvelle approche de leurs activités marquée du prisme de la cybersécurité. Par exemple, l’auteur préconise d’effectuer des exercices de simulation recréant une cyberattaque.
