Table of Contents
Les services publics sont une cible de choix pour les cyberattaquants, et le nombre d’incidents augmente chaque année. La cybersécurité n’est plus une option.
Le début d’année 2023 a été marqué par la cyberattaque contre la ville de Lille : pendant plusieurs jours, la municipalité a dû fonctionner au ralenti et se passer d’ordinateurs et de logiciels. L’incident, loin d’être isolé, met en lumière la vulnérabilité du secteur public face aux cybermenaces – et surtout, l’ampleur des conséquences pour ses organismes. Peu ou pas assez pris au sérieux, les risques sont pourtant décuplés pour le secteur public. Décryptage.
Etat des lieux : le secteur public de plus en plus touché par les cyberattaques
Cible privilégiée des cyberattaquants, le secteur public fait face à des cyberattaques de plus en plus nombreuses. Selon le rapport Threat Landscape 2022 de l’ENISA, sur la période de juillet 2021 à juillet 2022, les administrations ont ainsi représenté 24% des victimes. En cause, la variété des attaques mais aussi le statut particulier des organismes publics.
Un secteur lucratif pour les cyberattaquants
Les organisations publiques sont souvent considérées comme des cibles privilégiées pour les cyberattaquants :
- Elles traitent de données sensibles : telles que des informations personnelles, financières, médicales et gouvernementales. Ces données sont attrayantes pour les cyberattaquants, car elles peuvent être utilisées à des fins d’exploitation, de fraude, de chantage ou d’espionnage, voire être revendues.
- Elles gèrent des infrastructures critiques : réseaux électriques, systèmes de transport ou encore services d’urgence sont souvent pilotés par des organismes publics. Une cyberattaque réussie sur ce type de structure peut ainsi paralyser la société dans son ensemble. Et plus les dommages causés sont importants, plus les cyberattaquants affirment leur position de force.
- Elles ne sont pas suffisamment protégées : malgré les alertes lancées, de nombreux organismes publics ne possèdent pas les ressources nécessaires pour investir dans des mesures de cybersécurité efficaces. Ils font ainsi office de « cibles faciles » pour les cyberattaquants.
Une variété de menaces
Les organismes publics sont également confrontés à de multiples menaces qui ne nécessitent pas forcément les mêmes mesures de protection. On y retrouve par exemple :
Phishing
Cette technique consiste à se faire passer pour un tiers de confiance afin d’obtenir des informations sensibles telles que des identifiants de connexion ou des mots de passe. L’erreur d’une seule personne peut ainsi paralyser tout l’organisme.
Attaque DDoS
Aussi appelée « attaque par déni de service », elle correspond à la surexploitation volontaire des systèmes informatiques d’une organisation par plusieurs cyberattaquants. L’objectif est de rendre les services indisponibles pour les autres utilisateurs.
Cyber espionnage
Ce type d’attaque peut prendre différentes formes, telles que l’accès non autorisé à des bases de données, la surveillance de communications ou encore le vol de secrets gouvernementaux. Tout comme l’espionnage traditionnel, le cyber espionnage vise l’obtention de renseignements stratégiques ou confidentiels.
Ransomware
Les ransomwares, ou rançongiciels, sont des programmes malveillants conçus pour crypter les données d’une organisation. Ses créateurs exigent ensuite le paiement d’une rançon en échange de la clé de déchiffrement.
Avec 23% des incidents en 2022, les collectivités locales constituent la deuxième catégorie de victimes la plus affectée par des attaques par rançongiciel derrière les TPE, PME et ETI.
Source :Panorama de la cybermenace 2022 – ANSSI
L’exploitation des CVE
Divulguées publiquement, les CVE (Common Vulnerabilities and Exposures) sont des failles de sécurité qu’un grand nombre d’organismes ne parviennent pourtant pas à déceler. Ces organisations s’exposent alors à un risque énorme : celui de l’exploitation de leurs vulnérabilités par les cyberattaquants, et donc, à la prise de contrôle de leur serveur ou au piratage de leurs données.
Comme le dévoile le Panorama de la cybermenace publié par l’ANSSI, au cours de l’année 2022 de nombreuses failles ont été découvertes :
- Dans MICROSOFT EXCHANGE : elles permettent de provoquer une exécution du code arbitraire à distance et de prendre le contrôle du serveur de messagerie.
- Dans la solution GLPI : elles offrent la possibilité à un attaquant de contourner la politique de sécurité.
- Dans ZIMBRA : la vulnérabilité référencée CVE-2022-27925 permet à un cyberattaquant de porter atteinte à la confidentialité et à l’intégrité des données.
Quels sont les risques cyber pour les organismes publics ?
Devant la variété des menaces et le manque de protection des organismes, il est évident que le secteur public fait face à de multiples risques.
Risque opérationnel
Certaines attaques telles que les ransomwares ou les attaques par déni de services peuvent paralyser les systèmes informatiques des organismes. Cela peut notamment perturber les opérations gouvernementales, les services d’administration, de santé ou d’éducation.
Risque financier
C’est le risque quasiment inévitable d’une cyberattaque. En effet, même si l’organisme touché choisit de ne pas céder au chantage financier des pirates en cas de ransomware, les coûts relatifs à la restauration des systèmes, à la mise en place de mesures de sécurité, à la formation du personnel et à la gestion de crise s’avèrent vite conséquents et ce, quel que soit le type d’attaque subi.
Risque de réputation
Les cyberattaquants sont nombreux à médiatiser leur prise de pouvoir – ou bien n’hésitent pas à divulguer publiquement des informations confidentielles – afin de faire pression sur l’organisation piratée. Celle-ci risque alors de voir son image publique se détériorer et de perdre la confiance de ses usagers.
Risque politique
Les cyberattaques peuvent avoir pour objectif de collecter des informations sensibles ou de mener des activités de surveillance sur le secteur public. Cela peut compromettre la sécurité nationale, les secrets gouvernementaux ou encore la diplomatie entre différents acteurs.
Comment se prémunir des cyberattaques dans le secteur public ?
Encore trop peu protégés face aux cybermenaces, les organismes du secteur public disposent pourtant de moyens efficaces de prévenir les attaques, tels que :
- Pentest as a Service: un audit de sécurité lancé en moins d’une semaine et pour un prix fixe. Défrichez la plupart des vulnérabilités dans un produit et évaluez son niveau de sécurité à un instant T, ou planifiez plusieurs pentests tout au long de votre cycle de développement dans le cadre d’une approche DevSecOps.
- Bug bounty: une chasse aux vulnérabilités en profondeur avec les hackers d’élite de la Yogosha Strike Force. Identifiez les failles les plus critiques avec une logique de paiement aux résultats. Pas de vulnérabilités = pas de dépenses, vous ne récompensez que les résultats exploitables.
Expert en cybersécurité, Yogosha accompagne tous types d’organismes publics dans la protection de leurs systèmes d’information. Identifiez vos vulnérabilités grâce à des opérations de Pentest et de Bug Bounty, et centralisez et gérez votre stratégie de cybersécurité depuis une plateforme dédiée.
Le + : Yogosha accompagne tout particulièrement les lycées, universités et régions avec la mise en place de Bug Bounty pédagogiques, pour participer à former les ingénieurs en sécurité de demain.
Les ministères, les autorités locales et les administrations sont des cibles privilégiées pour les cyber-attaquants. Ayez un temps d’avance et renforcez votre sécurité dès maintenant. Contactez-nous !
Ils font du bug bounty, ils racontent.
