Depuis plusieurs années, les attaques de ransomwares sont devenues l’une des principales menaces pour les collectivités locales et territoriales en France. Ces collectivités sont devenues une des cibles privilégiées des cybercriminels en raison des enjeux liés à la fourniture des services aux citoyens et à la protection des données personnelles. Les ransomwares représentent une menace majeure pour ces collectivités, car ils peuvent paralyser l’ensemble des services, affectant ainsi la vie des citoyens.
Les cybercriminels utilisent différents types de ransomwares pour cibler les données des organisations publiques et exiger le paiement d’une rançon. Ces attaques peuvent avoir des conséquences dramatiques sur les services publics, la sécurité et la confidentialité des données, ainsi que sur la réputation des collectivités.
Notre article :
- examine les types de ransomwares et les vecteurs d’infection les plus courants,
- définit les meilleures pratiques pour prévenir ces attaques et protéger les systèmes informatiques des collectivités locales.
Quels sont les différents types de rançongiciels qui ciblent les collectivités et leurs modes de fonctionnement ?
Les rançongiciels sont des logiciels malveillants qui sont utilisés pour effectuer une attaque informatique à destination d’un organisme ou d’une personne ciblée et demander le paiement d’une rançon en échange de la résolution du problème.
Les collectivités peuvent être la cible de différents types de ransomwares, chacun ayant son propre mode de fonctionnement :
Ransomware locker :
Le premier type de ransomware est le ransomware traditionnel, également appelé « ransomware locker » ou “computer locker”.
Généralement, le rançongiciel locker va être installé sur la machine de la victime en utilisant des techniques de manipulation psychologique pour amener les employés de la collectivité à ouvrir des pièces jointes ou à télécharger des logiciels malveillants.
Une fois le logiciel installé, il bloque l’accès au système informatique ou à l’interface de l’ordinateur et exige le paiement d’une rançon en échange du déblocage.
Ransomware cryptovirus :
Un deuxième type de ransomware est le ransomware cryptovirus, également appelé « rançongiciel crypto-malware« .
Avec ce type de programme, les cybercriminels utilisent des algorithmes de chiffrement sophistiqués pour verrouiller les données du système informatique de la collectivité.
Les crypto-ransomwares sont considérés comme plus complexes que les ransomwares traditionnels de type “locker”, car les algorithmes de chiffrement qu’ils utilisent rendent le processus de déchiffrement plus difficile, voire impossible, sans la clé de déchiffrement.
Ransomware de type « Doxxing » :
Le troisième type de ransomware qui cible les collectivités est le ransomware de type « Doxxing« .
Ce type de rançongiciel vise à extorquer les victimes en menaçant de publier des informations sensibles ou compromettantes.
Les cybercriminels peuvent menacer de publier des données confidentielles volées, telles que des données personnelles des employés de la collectivité ou des informations stratégiques de la collectivité, à moins que la rançon ne soit payée.
Quelles sont les collectivités ciblées par les ransomwares ?
Une carte en ligne publiée par le réseau Déclic, réseau mettant en relation les services numériques et informatiques des collectivités et établissements publics, recense les cyberattaques survenues dans les collectivités territoriales et les établissements publics français depuis 2019.
Bien que se basant uniquement sur les données publiques disponibles dans la presse (les données sur les cyberattaques étant rarement faciles d’accès…) il est possible de dire que tous les types de collectivités sont concernés.
À la date de mise à jour de notre article, la carte mise en ligne par Déclic (visible ici) recense des attaques survenues sur :
- 82 villes et communes,
- 14 départements ou régions,
- 36 structures hospitalières / SDIS
Même si les types d’attaques informatiques sont variés, un grand nombre concerne plus spécifiquement des attaques par ransomware. Nous avons relevé, à titre d’exemple, les incidents ayant concerné des collectivités telles que la mairie de Frontignan la Peyrade, la Communauté de Communes Rives de Moselle, le département de l’Ardèche, le Conseil Départemental de Saône-et-Loire ou encore, l’Hôpital Sud Francilien de Corbeil-Essonnes.
Comment les rançongiciels infectent-ils les systèmes informatiques des collectivités ?
Les rançongiciels peuvent infecter les systèmes informatiques des collectivités par différents vecteurs d’attaque. Voici les principaux modes d’infection :
Campagnes de phishing :
Les campagnes de phishing sont l’un des vecteurs d’attaque les plus courants pour les collectivités.
➔Les cybercriminels envoient des e-mails frauduleux qui contiennent des liens ou des pièces jointes malveillantes.
➔Lorsque les employés des collectivités cliquent sur ces liens ou ouvrent ces pièces jointes, cela peut déclencher l’installation d’un rançongiciel sur le système informatique de la collectivité.
Sites Web compromis :
Les sites Web compromis sont une autre méthode courante pour infecter les systèmes informatiques des collectivités.
➔Les cybercriminels créent des sites Web malveillants qui contiennent des logiciels malveillants et des scripts qui exploitent les failles de sécurité des navigateurs web.
➔Lorsque les employés des collectivités visitent ces sites, cela peut entraîner l’infection de leur système informatique.
Logiciels piratés :
Les logiciels piratés sont une autre source d’infection courante pour les collectivités.
➔Les cybercriminels peuvent intégrer des rançongiciels dans des versions piratées de logiciels, tels que des suites bureautiques, des logiciels de comptabilité ou des logiciels de gestion de projet.
➔Lorsque les employés des collectivités installent ces logiciels, cela peut déclencher l’installation d’un rançongiciel sur leur système informatique.
Réseaux internes :
Les rançongiciels peuvent également se propager à travers les réseaux internes des collectivités en exploitant des vulnérabilités présents dans des protocoles de communication ou sur des configurations réseau mal sécurisées.
➔Par exemple, les rançongiciels peuvent se propager d’un ordinateur infecté sur un réseau local à d’autres ordinateurs sur le même réseau, ou ils peuvent être distribués via des connexions VPN non sécurisées qui permettent l’accès distant aux systèmes informatiques de la collectivité.
➔Ils peuvent également se propager suite à des failles sur des systèmes de stockage de données, des applications métier et tout autre système utilisé pour gérer les opérations de la collectivité.
Collectivités : quelles sont les meilleures pratiques pour prévenir ces attaques et protéger les systèmes informatiques ?
Utilisation de logiciels de sécurité pour surveiller les réseaux et les activités suspectes
Pour protéger leur système d’information des rançongiciels et autres crypto-virus, les collectivités peuvent utiliser des logiciels de sécurité dont la mission sera d’aider à détecter et à bloquer les menaces avant qu’elles ne causent des dommages importants.
Parmi ces logiciels de sécurité, on peut citer :
- les antivirus,
- les pare-feux,
- les solutions de détection d’intrusion et de prévention des programmes malveillants,
- les outils de surveillance et de détection de menaces en temps réel,
- les solutions de sécurité de bout en bout, qui couvrent tous les points de terminaison du réseau.
Il est important de choisir des logiciels de sécurité fiables et mis à jour, pour s’assurer qu’ils sont capables d’identifier les dernières menaces connues. Les collectivités doivent également s’assurer que ces logiciels sont configurés correctement et que les règles de sécurité sont bien définies. Des recommandations plus précises peuvent être trouvées dans le Guide de l’hygiène informatique de l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Utiliser des pare-feux et des filtres pour bloquer les courriels malveillants
Pour maximiser la protection contre les attaques de rançongiciels, il est recommandé d’utiliser une combinaison de filtres de courrier électronique et de pare-feux.
- Les courriels malveillants sont un vecteur d’attaque courant pour les rançongiciels. Pour éviter cela, les collectivités peuvent utiliser des filtres de courrier électronique qui bloquent les courriels provenant de domaines suspects ou contenant des pièces jointes malveillantes avant qu’ils n’atteignent les boîtes de réception des employés. Les employés doivent également être formés pour reconnaître et signaler ces courriels suspects.
- Les pare-feux peuvent également bloquer les connexions entrantes non autorisées et prévenir les attaques de rançongiciels. Ils peuvent bloquer les connexions à des sites web connus pour héberger des logiciels malveillants ou à des adresses IP suspectes. Les pare-feux doivent être configurés pour n’autoriser que les connexions nécessaires pour les activités de la collectivité.
Mettre à jour régulièrement les systèmes et les logiciels de sécurité :
Les mises à jour sont essentielles pour combler les failles de sécurité et les vulnérabilités, qui sont souvent exploitées par les cybercriminels pour lancer des attaques. Selon le rapport Ponemon Institute Vulnerability Survey de 2023, près de 42% des incidents de sécurité signalés en 2023 étaient dus à une vulnérabilité connue, mais non corrigée.
Les mises à jour peuvent être effectuées manuellement ou automatiquement en fonction de la politique informatique de la collectivité. Les mises à jour automatiques peuvent sembler être pratiques, mais elles peuvent entraîner des problèmes d’incompatibilité ou d’autres erreurs système qui peuvent déboucher sur des temps d’arrêt inattendus. Il est donc recommandé de procéder à des tests de mise à jour sur des environnements de test avant de les déployer sur les systèmes de production, et de mettre à jour manuellement lorsque cela est nécessaire.
Cela nécessite souvent l’expertise d’un administrateur système ou le recours à un prestataire externe pour aider à la gestion des mises à jour. Les mises à jour doivent être planifiées de manière à minimiser les interruptions de service et à garantir la continuité des activités de la collectivité.
Mettre en place des politiques de gestion des accès :
La mise en place de politiques de gestion des accès est essentielle pour limiter l’accès aux données et aux systèmes informatiques aux employés autorisés. Les politiques doivent être clairement définies et communiquées à l’ensemble des employés de la collectivité. Selon le rapport Data Breach Investigations Report de Verizon de 2023, 49% des fuites de données sont dues au vol de données d’identification, dont identifiants faibles, réutilisés et volés.
Encourager l’utilisation de mots de passe forts et l’authentification à deux facteurs
Pour limiter l’accès aux données et aux systèmes informatiques aux employés autorisés, les collectivités doivent encourager l’utilisation de mots de passe forts et l’activation de l’authentification à deux facteurs.
- Les mots de passe doivent être suffisamment complexes pour être difficiles à deviner ou à cracker.
- L’authentification à deux facteurs doit être utilisée pour renforcer la sécurité en demandant un code envoyé par SMS ou une clé de sécurité physique par exemple.
- Les employés doivent être sensibilisés à l’importance de la sécurité des mots de passe et de l’authentification à deux facteurs pour protéger les systèmes informatiques sensibles de la collectivité.
Révoquer immédiatement les droits d’accès des anciens employés ou des employés ayant changé de poste
Les collectivités doivent révoquer immédiatement les droits d’accès des anciens employés ou des employés ayant changé de poste pour éviter les risques de fuites de données ou de compromission des systèmes informatiques.
- Il est essentiel de mettre en place des processus de gestion des comptes utilisateurs pour s’assurer que les comptes des employés ne restent pas actifs une fois qu’ils ont quitté leur poste ou l’organisation.
- Les responsables hiérarchiques doivent également être informés des procédures à suivre pour signaler les changements de statut de leur employé afin que leur accès soit modifié ou supprimé en conséquence.
Effectuer des sauvegardes régulières des données :
Selon l’ANSSI, les sauvegardes sont un élément clé de la résilience face aux attaques par rançongiciels, comme spécifié dans son guide “Attaques par rancongiciels : tous concernés”. Les collectivités doivent donc accorder une grande importance à leur stratégie de sauvegarde afin d’éviter de perdre des données importantes en cas d’attaque.
Pour une stratégie de sauvegarde optimale, il est conseillé de respecter la règle 3-2-1 : avoir au moins 3 copies des données, stockées sur 2 types de support différents et conservées dans, au moins, 1 endroit externe :
- Au-delà de la sauvegarde interne, il est ainsi recommandé de disposer d’une sauvegarde externalisée, c’est-à-dire stockée dans un emplacement externe à l’infrastructure de la collectivité, comme un service de stockage cloud.
- Il est également recommandé de stocker les sauvegardes dans des lieux distincts pour éviter qu’elles ne soient endommagées en cas d’incident (incendie, inondation, etc.).
- Les sauvegardes doivent être régulièrement testées pour s’assurer qu’elles sont récupérables en cas de besoin.
Sauvegarder ses emails
En plus de la mise en place de pare-feux et de filtres de courrier électronique, il est crucial de penser à la sauvegarde des données de la boîte mail, souvent négligée par les structures, et n’étant généralement pas inclus dans le reste des données sauvegardées.
Cela s’applique aussi bien aux messageries gérées en interne qu’externalisées dans le Cloud. Même les messageries électroniques en mode SaaS, comme les boîtes mail Exchange de Microsoft, ne proposent généralement pas de service de sauvegarde automatique. Il est donc crucial de mettre en place une sauvegarde des e-mails ou de faire appel à un prestataire capable de le faire.
Former et sensibiliser des employés
Afin, pour éviter que les employés ne soient une source de vulnérabilité, les collectivités doivent sensibiliser et former leurs employés à la sécurité informatique.
- Il est important d’organiser des sessions de formation régulières pour que les employés soient conscients des dernières menaces.
- Les employés doivent comprendre les risques liés aux rançongiciels et savoir comment reconnaître les courriels de phishing et les logiciels malveillants.
- Les formations peuvent être axées sur l’identification des courriels suspects, la vérification des sources de téléchargement ou encore la sécurisation des mots de passe. Elles peuvent également inclure des simulations d’attaques de phishing, des guides de sécurité et des vidéos explicatives pour aider les employés à comprendre les risques et à prendre les mesures appropriées pour les éviter.
- Ils doivent être informés des procédures à suivre en cas de soupçon d’attaque ou de compromission de leurs comptes.
Disponible sur le site Cybermalveillance, le Programme de sensibilisation aux risques numériques dans les collectivités territoriales, propose un certain nombre de ressources permettent aux élus de comprendre, mais aussi, de partager des informations pour sensibiliser les collaborateurs de leur structure :
- Des vidéos de sensibilisation sur les risques numériques
- Trois fiches pratiques : gestion mots passe, usages élus/pro/perso, hameçonnage
- Des supports pour résumer les premiers gestes en cas de cyberattaque
- Un auto-diagnostic lié au risques cyber de la collectivité
Pour aller plus loin…
La sécurité informatique ne peut plus être considérée comme un aspect secondaire, car une cyberattaque peut avoir des conséquences désastreuses pour les citoyens et la confiance qu’ils ont envers leur collectivité. Il est donc essentiel pour ces collectivités de se protéger contre les ransomwares en utilisant tous les moyens possibles à leur disposition :
- en mettant en place des politiques de sécurité robustes,
- en délivrant des formations pour les employés,
- en réalisant des sauvegardes régulières des données
- en appliquant des mesures de protection spécifiques telles que les pare-feux et les filtres de courrier électronique
- etc.
Au delà de ces moyen, il est également important pour les collectivités d’investir dans l’expertise, en interne ou en externe, pour renforcer leur sécurité informatique et assurer la continuité de leurs services en cas d’incident (PCA, PRA…), tel que décrit dans cet article.
Vous êtes une collectivité et vous avez un besoin ?
Audit, conformité RGPD, tests d’intrusiton ou gestion du système d’information, Déessi vous accompagne dans toute la démarche : contactez-nous ou consultez nos solutions de sécurité informatique !