Cybersécurité, l’année de tous les dangers
Guerre en Ukraine, élections Européenne et aux États-Unis, Jeux Olympiques : autant de risques de cyberattaques potentielles en 2024. La menace des pirates informatique et autres hackers est plus forte que jamais, mais la riposte s’organise.
Philippe Martin
Le dimanche 11 février dernier, vers 2 heures du matin, le Centre hospitalier d’Armentières (Nord) est victime d’une cyberattaque lancée selon toute vraisemblance par un nouveau groupe de délinquants nommé Blackhout. Les conséquences pour l’établissement sont lourdes : système informatique bloqué, fermeture complète des urgences pendant deux jours et demi, vol des coordonnées de 300.000 patients de l’établissement, vols des coordonnées bancaires de 700 (sur les 1.200) agents… Quelques jours plus tard, l’hôpital a retrouvé un fonctionnement normal, mais avec un passage obligé par le bon vieux système “papier-crayon” pour le suivi des dossiers des patients.
Voilà le genre d’informations qui survient pratiquement tous les jours en France. Et tout le monde est visé, ainsi que le démontre le dossier que nous consacrons à la “cybersécurité en région” à travers des exemples variés de cyberattaques récentes : aéroport de Montpellier, Université d’Aix-Marseille, mairie de Sartrouville, groupe immobilier Gambetta, département du Loiret, CHU de Brest, compagnie maritime Corsica Ferries, société de vente de voitures à La Réunion… Et bien sûr quelques régions, comme la Normandie ou la Collectivité de Martinique.
Et le pire, c’est que ça ne risque pas de s’arranger ! L’année 2024 additionne en effet trois phénomènes qui ne peuvent qu’aggraver la situation. La guerre qui se poursuit en Ukraine tout d’abord. La grande majorité des groupes de hackers étant russophone, on peut facilement imaginer à quel point le conflit se poursuit également pour eux via Internet. Ce n’est pas un hasard si l’attaque cyber sur le satellite KA-SAT, bloquant pendant quelques heures les communications mondiales, a eu lieu le 24 février 2022, jour de l’invasion russe en Ukraine, la Russie ayant par la suite été identifiée (et condamnée) comme agresseur.
Aux Jeux Olympiques de Pyeongchang, la cérémonie d’ouverture avait failli être annulée à cause d’une cyberattaque…
Deuxième phénomène, les élections : plus de 70 durant cette année à travers le monde, dont les européennes en juin, et les américaines en novembre. On sait désormais à quel point certains scrutins, comme le vote du Brexit par exemple, ont fait l’objet de manipulations par les cybercriminels russophones. Pour y faire face, c’est un travail de l’ombre, déjà commencé, et qui va se poursuivre pendant toute l’année.
« Un formidable événement sportif et économique, mais aussi une formidable cible »
Et enfin il y a les Jeux Olympiques et Paralympiques de Paris. Lors des derniers Jeux de Tokyo, en 2021, en pleine pandémie de Covid, plus de 450 millions de cyberattaques avaient été recensées : la plupart des experts en redoutent dix fois plus cette année, soit plus de 4 milliards ! En 2018, aux Jeux de Pyeongchang, en Corée du Sud, le malware Olympic Destroyer avait failli faire capoter le bon déroulement de la cérémonie d’ouverture, en rendant le wifi inutilisable, empêchant du même coup les spectateurs de présenter leur billet…
Plusieurs groupes de hackers annoncent ainsi avoir placé les JOP comme “top priorité”. Premiers visés : la cérémonie d’ouverture, l’organisation des transports en commun, le bon déroulement des compétitions… Parfois avec demandes de rançon à la clef, parfois par simple volonté de nuire (lire en encadré les différents types d’attaques). Avec plus de 15 millions de visiteurs attendus en France, dans dix villes et sur plus de 300 sites, la défense n’est évidemment pas facile à organiser. « Un formidable événement sportif et économique, mais aussi une formidable cible », a prévenu Vincent Strubel, directeur général de l’ANSSI, l’Agence nationale de la sécurité de l’information.
ANSSI, CERT, Campus Cyber, CSIRTs régionaux : le combat contre les hackers se poursuit à tous les niveaux
Car la riposte s’est évidemment mise en place au fil des années, et encore plus ces derniers mois : près de 10.000 “cyberenquêteurs” seraient actuellement au travail pour anticiper le plus possible sur les menaces potentielles. Dès 2009, la création de l’ANSSI, directement rattachée au secrétariat général de la Défense et de la Sécurité nationale, a permis de rassembler l’ensemble des organismes qui travaillent dans domaine (lire par ailleurs l’interview de Gaëtan Poncelin de Raucourt).
Au sein de la sous-direction Opérations de l’ANSSI, le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) apporte son soutien en matière de gestion d’incidents aux ministères, institutions, juridictions, autorités indépendantes, collectivités territoriales et OIV (Opérateurs d’Importance Vitale).
A La Défense, le Campus Cyber rassemble depuis trois ans, dans une même tour, les services de renseignement de l’Etat (DGSE et DGSI) aux côtés de l’ANSSI, d’Orange Cyberdéfense et de 140 entreprises et start-ups, constituant un puissant écosystème de la cyberdéfense.
Une difficile lutte contre les pirates
En région, les CSIRTs régionaux, issus du plan France Relance en 2021, ont permis de créer sur chaque territoire des centres de réponse aux incidents cyber (lire pages suivantes). Douze d’entre eux sont désormais opérationnels. Et les Régions elles-mêmes ne sont pas restées les deux pieds dans le même sabot, en participant à l’évolution et parfois au financement de ces Centres.
Mais surtout en générant des “Campus Cyber” qui rassemblent les forces vives de la cybersécurité et les écosystèmes de plus en plus importants qui se développent autour d’elles. A l’image des premiers campus ouverts dans les Hauts-de-France et Nouvelle-Aquitaine, c’est aussi toute une riposte qui se met en place. Mais le combat s’annonce rude.
Les trois types d’attaques informatiques sur les collectivités
Dans sa synthèse annuelle, l’Anssi énumère les différentes attaques informatiques auxquelles sont confrontées les collectivités territoriales depuis plusieurs années :
- Attaques à but lucratif, principales menaces pour l’ensemble des collectivités territoriales. Elles prennent diverses formes (attaques par rançongiciels, compromission de messageries professionnelles…) ;
- Attaques à but de déstabilisation, elles consistent en une défiguration des sites internet des collectivités territoriales à des fins politiques (“hacktivisme“) et par des attaques à but de sabotage ;
- Attaques à but d’espionnage visant à compromettre les équipements informatiques afin d’espionner les cibles visées. Ces attaques sont réalisées majoritairement par des groupes opérant pour le compte d’États.
Rendez-vous est donné au Forum InCyber de Lille les 26-27 et 28 mars 2024.
Retrouvez l’intégralité de ce dossier dans le n°170 de Régions Magazine, actuellement en kiosque.