L’Anssi décrypte les cyberattaques subies par les collectivités territoriales

En France, comme en Europe (voir ci-dessous), les administrations figurent en tête des victimes de cyberattaques. Les collectivités représentent ainsi 17% des incidents gérés par l’Anssi selon une note publiée fin octobre 2023 faisant le bilan des cyberattaques s’étant produites entre janvier 2022 et juin 2023. Si tous les types de collectivités ont été attaqués, l’agence note une surreprésentation relative des départements (40% ont été attaqués) et des régions (12 incidents). L’agence signale également les effets démultiplicateurs de la mutualisation des services numériques entre collectivités qui peuvent aboutir à la paralysie d’un territoire.

Des rançongiciels aux conséquences coûteuses

Les attaques à visée lucrative, qui passent essentiellement par des rançongiciels, constituent la principale menace cyber pour les collectivités territoriales. Ces dernières sont, souligne l’Anssi, des « cibles de choix » pour les pirates qui profitent de services « mal sécurisés », « disparates » et utilisent les données personnelles récupérées à l’occasion de l’intrusion pour accentuer leur chantage. Au total, l’agence a eu à traiter sur la période considérée 42 attaques par rançongiciel, dont 18 par le malware Lockbit. L’agence relève le caractère coûteux et chronophage de ces attaques. Une collectivité a ainsi mis plus de quatre mois à reconstruire totalement son système d’information, l’obligeant à assurer ses services en mode dégradé pendant ce laps de temps. L’agence rappelle au passage que les sauvegardes déconnectées du réseau et l’existence d’un plan de reprise d’activité peuvent atténuer sensiblement les effets d’une attaque par rançongiciel. Ces attaques ont par ailleurs des effets de bord, sur les collectivités avec qui la victime partage certaines applications et sur les usagers, les mails récupérés par les attaquants étant utilisés pour mener des campagnes d’hameçonnage. Un groupe cybercriminel a ainsi exfiltré 1,3 To de données personnelles d’une collectivité, une partie des données étant publiée en ligne sur le dark net. Ces campagnes de phishing sont également une des conséquences des compromissions de messageries observées dans 51 collectivités.

Menaces étatiques à prendre au sérieux

Les collectivités subissent ensuite des attaques à but de déstabilisation, certaines étant menées par des hacktivistes, d’autres étant guidées par un acteur étatique dans un objectif de sabotage. Les premiers pratiquent surtout la défiguration de site internet, souvent liée à un événement géopolitique comme la guerre en Ukraine. Si elles ne sont pas d’une grande sophistication, l’Anssi note « qu’elles portent atteinte à l’image de ces collectivités et peuvent susciter la crainte chez leurs administrés ». Sur le volet sabotage, l’agence relève que ce type d’attaque est pour le moment « rare », sans mentionner de cas précis. Elle appelle cependant à les prendre « au sérieux » dans la perspective de l’organisation des Jeux olympiques et paralympiques de 2024. A titre de mise en garde, elle relate l’attaque dont la ville de Téhéran (Iran) a été victime en juin 2022. Les cyberattaquants avaient alors réussi à mettre à l’arrêt 5.000 caméras de vidéoprotection et à prendre le contrôle de la plateforme d’envoi de SMS de la capitale iranienne, leur permettant l’envoi de 600.000 messages politiques. L’Anssi note enfin que les collectivités peuvent intéresser des cyberattaquants par les équipements numériques qu’elles gèrent, ces infrastructures pouvant être utilisées comme relais pour camoufler des opérations d’espionnage sur une cible tierce. Elle appelle les collectivités à sécuriser leurs équipements périphériques tels que les routeurs.