Déjà classées au cinquième rang des risques les plus importants en 2020, les cyberattaques ont augmenté de 600 % depuis la pandémie de COVID-19. Touchant à la fois le secteur public et le secteur privé, les conséquences sont chaque fois plus importantes. À l’occasion de ce début d’année 2023, il convient de s’interroger sur les mesures qui ont été prises pour diminuer les risques.
Les cyberattaques contre les établissements publics
Des hôpitaux paralysés, des données financières et personnelles volées, des rançons toujours plus importantes, 2022 aura été marquée par le nombre croissant de cyberattaques contre le secteur public. Selon l’Agence de l'Union européenne pour la cybersécurité (ENISA) entre juillet 2021 et juillet 2022, les cyberattaques contre le secteur public représentaient 24,21 % des incidents signalés dans le monde. La France ne fait pas exception et a connu une amplification de ce phénomène.
Les hôpitaux ont ainsi comptabilisé 730 déclarations d’incidents en 2022. L’exemple le plus marquant restera la cyberattaque de l’hôpital de Corbeil-Essonnes car elle regroupait différents types de cyberattaques. Le 20 août 2022, le groupe de pirates russophones Lockbit 3.0 génère une fuite de données (« data leak ») massive et diffuse sur le darknet plus de 11 gigaoctets de données personnelles. Parallèlement, ils engendrent une attaque par déni de service (« denial of service » ou DDoS) rendant inaccessible les logiciels métiers, les systèmes de stockage permettant la gestion des patients mais aussi les systèmes d’imagerie. La rançon de 10 millions de dollars (« ransomware ») demandée ne sera pour autant jamais payée, en accord avec la stratégie de l’État français. L'hôpital quant à lui, peinera à se remettre sur pied en annonçant un retour à la normale seulement début novembre.
Derrière les hôpitaux, on a également assisté à une recrudescence des attaques contre les collectivités locales tels que la mairie de Brunoy (Essonne) et le conseil départemental de Seine et Marne en novembre, ou encore le conseil régional de Normandie en décembre. Toutes ces cyberattaques, comme pour les établissements de santé, ont pour conséquence de rompre le principe de continuité du service public, principe à valeur constitutionnelle, en rendant inaccessible aux citoyens les services de ces collectivités. Sur un million d’attaques, 5 % des personnes ciblées payent la rançon, malgré les recommandations de l’État de ne pas payer. Ainsi, les multiples attaques contre ces collectivités peuvent s’avérer très rentables au regard du montant des rançons et de la préparation minime des collectivités à la gestion de crises d’origine cyber.
C’est dans cette même logique que des institutions publiques regroupant un très grand nombre de données personnelles ont été attaquées. On peut citer par exemple l’attaque contre La Poste Mobile en juillet 2022, également revendiquée par Lockbit 3.0, menaçant les données de 2 millions d’utilisateurs contre une rançon ou encore contre l’Assurance Maladie. Cette dernière, datant de mars 2022, a entraîné la violation des données personnelles médicales de 510 000 Français.
Souhaitant également ternir l’image et la réputation de l’État, des institutions emblématiques du gouvernement ont également été prises pour cible par le groupe Lockbit 2.0 (version 2021 du groupe) dans le but de voler des données, tels que le ministère de la Justice en janvier 2022 ou encore l’Ecole Nationale de l’Aviation Civile victime d’un rançongiciel en mars 2022.
Ces exemples ne sont qu’une liste non exhaustive du nombre incalculable, car indétectables ou non divulguées, de cyberattaques contre les établissements publics. De leur côté, les entreprises ne sont pas non plus épargnées par ce fléau.
Les cyberattaques contre les entreprises privées
Touchée à deux reprises par des cyberattaques en 2022, la société Thales, fleuron de l’industrie française de l’armement et de l’aérospatiale, a été la cible du groupe de hackers Lockbit 3.0. À l’aide de rançongiciels, les pirates avaient pour objectif de faire payer la société pour éviter que ne soient publiés des documents internes. Treize jours avaient été laissés en guise de compte à rebours. Revendiquant les attaques, Lockbit 3.0 a fait savoir qu’ils avaient eu accès au système d’information de Thales et pouvaient compromettre de nombreux documents sensibles. Toutefois, après enquête, la société n'a remarqué aucune intrusion dans leur système. Les données volées et publiées venaient en fait d’un serveur de dépôt de code où se trouvaient des données peu sensibles. Cette nouvelle tendance de vols et fuites de données, déguisées en attaque directe sur le système d’information d’une entreprise, sont de plus en plus fréquentes et ont pour but de déstabiliser l’entreprise pour que celle-ci paie une rançon par peur des conséquences financières, réputationnelles et matérielles.
Le groupe Leader, spécialiste en intérim et recrutement, a également subi une attaque suite à l’hameçonnage d’un de leurs salariés. Laissant entrer les hackers dans leur système d’information, leurs données se sont retrouvées chiffrées et même supprimées, en pleine période de paie, provoquant un agacement général au sein de l’entreprise.
Le cybercriminel ne s’intéresse pas seulement aux grands groupes, contrairement à ce que l’on pourrait penser, mais également aux TPE et PME qui ont elles aussi été la cible de nombreuses cyberattaques en 2022. En effet, les hackers font d’elles des cibles faciles en profitant de leurs systèmes d’information considérablement moins bien protégés que ceux de grandes entreprises : 50 % d’entre elles font d’ailleurs faillite dans les six mois qui suivent. Elles sont de facto plus vulnérables faute de ressources suffisantes dédiées à la protection cyber pour 60% des PME européennes.
Protéger le secteur public
En 2023, afin de réduire, au mieux, le nombre de cyberattaques et au pire, leurs conséquences, le secteur public, comme le secteur privé, a mis en place une stratégie, des politiques et a surtout débloqué des fonds.
La digitalisation de nombreux services due au COVID-19 a considérablement augmenté les risques vis-à-vis des systèmes notamment en raison du retard technologique des services publics. Si les questions liées au stockage des données sont d’ordre prioritaire depuis l’utilisation massive du cloud, les efforts semblent avoir été majoritairement redirigés vers la gestion des attaques cyber afin de protéger les établissements publics de la paralysie.
Le premier objectif du secteur public, à l’heure actuelle, est la modernisation des moyens de manière générale. Cette modernisation passe premièrement par une augmentation des moyens et des effectifs, notamment celui de l’Agence nationale de la sécurité et des systèmes d’information (ANSSI), dont le budget augmentera de 4,6 millions d’euros et où 126 postes sur trois ans ont été créés. De nouveaux postes tels que les « cyberpatrouilleurs » (1500) seront également créés en 2023, issus d’une école de formation en cybersécurité. Afin de piloter la modernisation des moyens de communication des forces de l’ordre, une nouvelle agence du numérique des forces de sécurité a également été instituée le 1er janvier 2023. Avec des mesures plus anciennes telle que la création du Campus cyber, qui comprend de nombreux organismes d’importance vitale, on note une certaine évolution de la mentalité concernant la cybersécurité en France.
Les hôpitaux ayant été des cibles particulières en 2022, des mesures spécifiques aux établissements de santé seront mises en place à partir de 2023. Afin que ces derniers puissent faire face aux attaques, un vaste programme de préparation aux incidents cyber a notamment été mis en place. Ce plan aura pour objectif de multiplier les exercices de gestion de crise cyber afin que 100 % des établissements de santé les plus prioritaires en aient réalisés de nouveaux d’ici mai 2023.
Parallèlement, un plan blanc numérique sera également réalisé au cours du premier trimestre 2023 afin d’inculquer aux établissements des réflexes pratiques en cas d’incident. Ces actions interviennent dans le cadre de la nouvelle feuille de route 2023-2027 du numérique en santé, dans laquelle la cybersécurité occupe une place centrale.
Toutes ces mesures s’inscrivent dans la stratégie nationale de la cybersécurité pour 2030, pour laquelle l’État prévoit d’investir plus d’1 milliard d’euros, dans le but de protéger les infrastructures vitales. La question sera évidemment de savoir si ces fonds seront suffisants pour pallier le manque cruel de moyens des établissements de santé publics en termes de protection face aux menaces cyber et si les collectivités territoriales bénéficieront d’un régime similaire.
Parmi toutes ces mesures, l’absence de formation du personnel hospitalier ou des collectivités territoriales est à noter. Alors que l’erreur humaine est aujourd’hui l’un des vecteurs majeurs des cyberattaques, le manque de compétence des agents publics dans ce domaine devrait être pris en compte dans les prochaines mesures.
Protéger le secteur privé
Face à la fréquence des attaques cyber et à ce « sentiment de honte et de culpabilité » pour certaines entreprises, il est pertinent de rappeler que le cyberattaquant n’est pas toujours en mesure de s’introduire dans un système d’information si l’entreprise se donne les moyens financiers, technologiques et humains pour le contrer. Les entreprises ne peuvent d’ailleurs plus assumer financièrement d’avoir une mauvaise maturité cyber : une attaque coûte entre 15 000 euros et 4 millions d’euros.
Les cyberattaques décrites ci-dessus visant Thales doivent, qui plus est, servir de motivation pour créer des entreprises plus fortes et plus résilientes qui seraient capables de tenir tête aux hackers bluffeurs.
Aujourd’hui très à la mode, la pratique du piratage de son propre système d’information dans le but de découvrir des vulnérabilités – également appelée « pentest » ou « test d’intrusion » – est une des mesures de sécurité les plus efficientes. Comme beaucoup d’entreprises, la société Décathlon en a fait l’une de ses armes de sécurité. Lors du forum international de la cybersécurité (FIC) 2022, un groupe de hackers éthiques a effectivement pu identifier 27 vulnérabilités liées à leur site internet dans le cadre d’une session au cours de laquelle le commanditaire offrait des récompenses pour chaque vulnérabilité trouvée, ce qui est appelé un « Bug bounty ». Il est à noter que Décathlon est aussi un très bon exemple dans sa façon de sensibiliser ses salariés grâce à des vidéos ludiques comme « cybersecurity is like sport ».
Protéger son système d’information pour ne pas être complètement paralysé par une cyberattaque passe notamment par des sauvegardes extérieures aux réseaux afin d’éviter qu’elles soient chiffrées par les pirates au moment de l’attaque. Cette action peut être déterminante comme a pu le souligner le directeur des systèmes d’information de Hopps Group visé par une cyberattaque en avril 2021 : « Le plus important c’est la sauvegarde. Sans cela, l’entreprise attaquée est en danger de mort ». Force est de constater qu’héberger des sauvegardes en externe peut in fine s’avérer risqué, comme l’a montré l’incendie subi par le premier hébergeur européen OVH en mars 2021, dans lequel des milliers de clients ont perdu leurs données. La prévention du risque cyber passe ainsi par la capacité à anticiper et à contrer tout cas de force majeur.
En outre, l’émergence des API (application programming interface), qui ont pour but de faciliter les échanges de données entre entreprises et leur manque de sécurisation, sont également des problématiques à anticiper pour 2023. Après avoir effectué un audit de l’API, il convient de privilégier le « secure by design », c’est-à-dire l’intégration de mesures de sécurité au moment de la conception de l’interface, et d’intégrer des fonctionnalités intelligentes (grâce à de l’IA) permettant de résister à des attaques applicatives.
D’autre part, pour lutter contre les rançongiciels, une loi visant à clarifier le cadre de l’indemnisation des rançons par les assureurs devrait remettre en cause le business model du hacker. En effet, des conditions seront désormais imposées pour pouvoir être remboursé du paiement d’une rançon et éviter que les pirates ne profitent de ce système, quand bien même il n’est pas toujours plus rentable de payer la rançon dans la mesure où 68 % des entreprises qui payent subissent de nouveau une attaque peu de temps après.
Enfin, encore trop peu sensibilisés à la menace cyber, les salariés des petites entreprises sont très souvent victimes de phishing – généralement des mails piégés – rendus possible grâce à des techniques d'ingénierie sociale (fait de connaître la cible de part des recherches internet notamment). La sensibilisation interne, pourtant mesure phare de l’hygiène numérique, n'est de fait toujours pas assez prise au sérieux. Seules un tiers des TPE et PME sont considérées comme correctement parées. Conscientes de ce déficit, beaucoup ambitionnent de le combler en effectuant des campagnes de sensibilisation sous forme de « kit pédagogique » ou encore de séminaires.
Le DSI d’Alain Afflelou, Ludovic Tassy, pointe très justement que « Les technologies évoluent, mais les méthodes des hackers évoluent encore plus vite. L’humain doit donc être le maillon fort du dispositif ». Les systèmes d’information français, tant privés que publics, devraient ainsi mettre toutes leurs forces au profit de l’anticipation de toute nouvelle cyberattaque.
Eva Boussin et Julie Schreiber pour le club Cyber de l’AEGE
Pour aller plus loin :