C’est quoi un rançongiciel ?
Le rançongiciel est un type d’attaque informatique qui bloque l’accès à l’appareil ou aux fichiers d’une organisation et qui exige le paiement d’une rançon en échange du rétablissement de l’accès.
Des collectivités territoriales dans le viseur des hackers : contexte de la menace
Les attaquants ciblent des organismes de services publics comme les collectivités territoriales, principalement pour cinq (05) raisons:
1.L’hacktivisme
L’hacktivisme, défini comme l’usage de techniques de piratage à des fins politiques ou sociales, est devenu un vecteur majeur de visibilité pour les groupes d’hacktivistes, qui ciblent de plus en plus des collectivités.
Exploitant les vulnérabilités des sites web municipaux, ces attaquants altèrent les contenus affichés pour y intégrer des messages à caractère politique ou religieux, souvent en lien avec des événements géopolitiques. En outre, les motivations politiques de ces attaques se manifestent également par des tentatives d’exfiltration et de divulgation de données sensibles.
Comme l’indique l’ANSSI dans la synthèse de la menace ciblant les collectivités territoriales de nombreuses collectivités françaises sont confrontées à des vagues d’attaques menées par des groupes d’hacktivistes. Par exemple, suite aux attentats de janvier 2015, de nombreux sites municipaux ont été compromis par des hacktivistes se réclamant de l’État islamique. De plus depuis l’invasion de l’Ukraine en février 2022, les collectivités françaises subissent régulièrement des défigurations de sites revendiquées par des groupes pro-russes.
Ces attaques, on le comprend, portent atteinte à l’image des collectivités visées et peuvent générer une certaine inquiétude parmi les administrés.
2.Le cyberespionnage
En raison des données sensibles qu’elles gèrent, les collectivités territoriales peuvent être la cible de cyberespionnage. En effet, les données détenues par les collectivités peuvent être intéressantes pour des groupes opérant pour le compte d’États. Le cyberespionnage est une catégorie de cyberattaques visant à exfiltrer des données depuis un système d’information ciblé afin d’en tirer un avantage stratégique.
La grande taille des réseaux informatiques des collectivités et la diversité des équipements qu’elles utilisent, souvent mal sécurisés, les rendent vulnérables au cyberespionnage. L’ANSSI, dans la synthèse de la menace ciblant les collectivités territoriales, parle même de participation à leur insu à la construction d’infrastructure d’attaques pour les groupes utilisant le cyberespionnage.
3.Le manque de culture du cyberrisque
Les collectivités sont en effet trop peu conscientes de l’ampleur réelle de la menace. C’est ce que relève une étude Le Courrier des maires – SMACL assurances : la conscience du risque a certes progressé; 47 % , soit près de 5 collectivités territoriales sur 10, considèrent les cyberattaques comme un risque majeur mais presque autant (44 %) jugent le risque mineur, voire absent (6%).
Ce manque d’acculturation à la cybersécurité se traduit par une méconnaissance de la cartographie des réseaux critiques, des pratiques d’hygiène informatique non cadrées, une absence de politique de sécurité de l’information, faisant des collectivités territoriales des cibles particulièrement faciles.
4.Le défaut de budget cybersécurité
Selon la 2ème étude sur la maturité cyber des collectivités publiée par Cybermalveillance.gouv.fr, les moyens des collectivités sont limités. Si 65 % des collectivités allouent moins de 5 000€ à leur budget informatique, 75 % des élus et agents indiquent dépenser moins de 2 000€ pour la cybersécurité.
Sans moyens tangibles, plusieurs mois sont souvent nécessaires pour détecter ou répondre à un incident informatique majeur dans une collectivité territoriale.
5.L’opportunité de revente des données sur le Dark Web
Les données administratives, financières et personnelles des administrés détenues au sein des collectivités sont nombreuses et présentent un intérêt pour les attaquants, qui peuvent accentuer le chantage à la publication de ces données lors de leurs attaques.
Les informations volées ou publiées sur Internet se revendent sur le marché noir.
Pour se faire une idée des tarifs :
- Le prix des données de carte de crédit est compris entre 20 et 30 dollars ;
- Les identifiants d’e-mails sont vendus entre 40 et 65 dollars ;
- En ce qui concerne le scan d’un passeport, il faut seulement compter 3 dollars.
Source : Article ExpressVPN https://www.expressvpn.com/fr/blog/quiz-combien-valent-vos-donnees-sur-le-dark-web/
Au regard de ce qui précède, nous vous recommandons 9 mesures à prendre pour enrayer votre exposition aux piratages informatiques de type ransomware. Ces mesures devraient vous permettre également d’améliorer la sécurité des données personnelles sous gestion dans vos entités, et ce de façon pérenne.
1.Renforcer le Budget cybersécurité :
Le budget consacré à la cybersécurité dans les collectivités varie considérablement en fonction de la taille de celles-ci. Il est recommandé à une collectivité de :
- Consacrer entre7% et 10% de son budget à la cybersécurité,
- Solliciter la gendarmerie «COMCyberGEND» pour bénéficier d’un diagnostic gratuit, qui peut permettre la mise en place un plan d’action :
- Voici 2 diagnostics activables par la gendarmerie:
2.Désigner un RSSI :
Le Responsable de la Sécurité des Systèmes d’information joue un rôle essentiel pour protéger les actifs informatiques d’une collectivité territoriale des piratages internes ou externes.
Il veille à ce que ceux-ci soient protéger correctement et qu’ils répondent aux normes de sécurité les plus élevées. Pour cela, le RSSI désigné doit être impliqué dans l’ensemble des processus de l’organisation, notamment de la planification stratégique, à la gestion des incidents de sécurité, en passant par la mise en œuvre de contrôles de sécurité. Il doit également veiller à la mise en place de programmes de sensibilisation des employés à la SSI, de moyens de surveillance pour détecter les incidents de sécurité en temps réel et à la mise en œuvre de plans de réponse aux incidents.
Ce que votre collectivité devrait faire :
- Donner au RSSI les moyens de travailler efficacement, avec
- Un accès direct à la Direction générale et aux élus.
- Une possibilité d’évolution en réseau ; ce réseau sera un lieu de partage d’informations, de bonnes pratiques et d’expérience.
3.Prioriser la mutualisation :
La mutualisation peut être définie comme le partage de moyens de différente nature entre deux ou plusieurs collectivités du bloc communal (communes, communautés, syndicats…).
Les petites communes peuvent ainsi s’appuyer sur des structures de mutualisation pour bénéficier de services et logiciels partagés. Pour celles ne disposant pas de RSSI, elles peuvent :
- Adhérer à des associations comme Déclic, qui réunit les opérateurs publics de services numériques (OPSN), ou l’AMF (l’Association des Maires de France) afin de bénéficier de conseils et d’un accompagnement.
- Intégrer le réseau des communes cyber dynamiques : ce réseau vise à promouvoir une amélioration continue de l’engagement cyber-responsable au sein des communes françaises, dans le but d’inciter les élus à rehausser la qualité de vie de leurs citoyens et à renforcer l’attrait de leurs territoires.
4.Former et sensibiliser l’ensemble des employés aux cyberrisques
La première ligne de défense contre les attaques par rançongiciel est le personnel.
Voici quelques recommandations (non exhaustives) :
- Sensibilisation des employés à l’importance de la protection des données personnelles, aux bonnes pratiques de cybersécurité et sur réglementations cyber (directive NIS 2, Loi de Programmation Militaire (LPM), RGPD).
- Entrainement au phishing et aux autres méthodes d’attaques par ingénierie sociale.
- Encouragement des employés à signaler toute violation potentielle de la vie privée ou de la sécurité des données.
- Renforcement de l’aspect humain par une pédagogie simple et accessible.
- Se rapprocher des antennes CNFPT (Centre National de la Fonction Publique Territoriale) pour des formations.
- Utilisation des dispositifs gratuits comme les MOOC de la CNIL et l’ANSSI.
5.Se protéger de la perte de données par des sauvegardes régulières et sécurisée
Les sauvegardes sont une mesure cruciale pour se protéger contre la perte de données.
Voici quelques recommandations (liste non exhaustive) :
- Réaliser des sauvegardes quotidiennes de l’intégralité de votre environnement informatique (hors postes de travail) et les Vérifier et Contrôler
- Stocker les sauvegardes hors ligne(Data Center Tiers III, équipement de type NAS par exemple) ou dans des environnements Cloud redondés et sécurisés.
- Tester régulièrement les sauvegardes pour s’assurer de leur intégrité et de leur disponibilité en cas de besoin.
- Veiller à tracer et faire auditer tous les accès aux données de sauvegardes/restaurations.
6.Cloisonner le réseau pour limiter la propagation de logiciels malveillants
Le cloisonnement de l’information s’avère être un outil efficace pour isoler les différents services/usages et limiter l’impact d’incidents majeurs.
Voici quelques recommandations (liste non exhaustive) :
- Segmenter le réseau pour isoler les systèmes critiques grâce à l’utilisation de différents VLAN hermétiques.
- Appliquer le principe des moindres privilèges, en veillant à ce que les utilisateurs aient accès uniquement aux ressources nécessaires à leurs fonctions.
- Veiller à ce que tous les pare-feu, routeurs et switchs sur vos réseaux, qu’ils soient gérés par les agents ou par des tiers, suivent la politique de sécurité du système d’information (PSSI) de votre collectivité territoriale.
7.Déployer des correctifs de sécurité dans les meilleurs délais
Les vulnérabilités logicielles sont des points d’entrée courants pour les attaques par rançongiciel.
Voici quelques recommandations (liste non exhaustive) :
- Utiliser des scanners de vulnérabilités en continu pour un monitoring régulier de l’état de sécurisation de votre parc informatique.
- Maintenir à jour tous les logiciels et systèmes d’exploitation.
- Déployer rapidement les correctifs de sécurité dès leur disponibilité et au plus tard une semaine après leur publication.
- Utiliser des outils de gestion des correctifs pour automatiser et suivre les mises à jour.
- Solliciter un service de veille d’un CSIRT externe permettant de recevoir, le cas échéant, les informations sur les vulnérabilités de type 0-day ou les mises à jour critiques des applications et équipements.
8.Élaborer un plan de réponse aux incidents
Un plan de réponse bien défini permet de réagir rapidement et efficacement en cas d’attaque.
Ce plan doit inclure :
- Un protocole clair pour la détection et le signalement des incidents de sécurité
- Un schéma de classification des incidents de sécurité
- Des procédures pour la mise en quarantaine des systèmes infectés.
- Un plan de communication interne et externe, y compris avec le RSSI/DPO, et par ailleurs, les autorités compétentes.
- Des exercices réguliers pour tester et affiner le plan.
9.S’inscrire dans des dynamiques locales
Afin d’aider les collectivités à renforcer leurs cybersécurité et leur résilience face aux cyberattaques, il est recommandé de s’inscrire dans les dynamiques locales. Ces dynamiques peuvent revêtir différentes formes. 3 modèles de développement se distinguent :
- La Dynamique départementale portée par le préfet avec les différents services de l’État,
- La Dynamique Élus- collectivités,
- La Dynamique associative.
Avec ces 3 dynamiques : État/Collectivités/Associations on peut arriver à asseoir une réaction cyber adaptée aux besoins de la collectivité.
Prenez soin de vos systèmes d’information et travaillons ensemble pour sécuriser vos données et actifs techniques les plus critiques.
Pour aller plus loin découvrez le panorama des régulations cyber auxquelles une collectivité territoriale française doit se conformer
Vous êtes une collectivité territoriale et avez besoin d’un accompagnement dans :
- La mise en conformitéde votre collectivité au RGPD ;
- L’organisation de la sécurité de votre système d’information (PSSI, PCA/PRA, Gestion d’incidents, Cryptograhie) ;
- La formation et la sensibilisation de votre Direction conformément à une série de normes en vigueur (LPM, NIS 2, ISO 27001…).
- Et bien plus encore, CONTACTEZ NOUS!
Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !
Alcees Confirme sa Participation à La Plage aux Entrepreneurs 2024 et vous y donne rendez-vous
Alcees participe à l’INSUR TOUR MARSEILLE 2024 : L’Évènement Incontournable pour les Professionnels de l’Assurance
Alcees participe au REGTECH DAY 2024 : L’Évènement Incontournable de l’Innovation dans les Fonctions de Contrôle du Secteur Financier
Alcees Confirme sa Participation aux Universités d’Eté de la Cybersécurité & du Cloud de Confiance et vous y donne rendez-vous
5 Informations Clés pour Bien Gérer la Conformité au Règlement Européen sur l’Intelligence Artificielle
Alcees Participe au Kick Off du RISK SUMMIT 2025
Partager cette publication à un collègue ou une connaissance
Insights liés
Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.
La mission de l’ENISA dans le cadre du cadre de certification de cybersécurité de l’UE est de contribuer de manière proactive à l’émergence d’un cadre de l’UE pour la certification des produits et services TIC, et de réaliser l’élaboration de systèmes de certification candidats conformément à la loi sur la cybersécurité.
L’ENISA, avec son rôle central en tant qu’agence qui interagit avec les services publics ainsi qu’avec l’industrie et les organisations de normalisation, fournit un point de référence solide pour développer des systèmes de certification de cybersécurité candidats.
Trois systèmes sont actuellement en cours de développement à différents stades. L’ENISA, la Commission européenne, soutenue par des groupes de travail représentant l’écosystème et les autorités compétentes des États membres, travaillent ensemble pour établir les premiers systèmes.
Le premier système, l’EUCC (European Cybersecurity Certification Scheme on Common Criteria), cible les produits TIC tels que les produits matériels et logiciels et les composants. Le 3 octobre 2023, un premier projet d’acte d’exécution a été publié par la Commission européenne et est ouvert aux commentaires jusqu’au 30 octobre 2023.