La crise sanitaire a imposé dans l’urgence et de façon inédite de nouvelles conditions de travail à distance pour les personnels des collectivités. La mise en œuvre de ces nouveaux moyens, quand cela était possible, s’est faite généralement de façon précipitée et avec des prises de risque non maîtrisées sur la sécurité informatique.
Il a fallu s’adapter : Utiliser son ordinateur personnel pour des besoins professionnels ou encore prêter celui-ci aux autres membres du foyer, ouvrir les droits d’accès informatiques de la collectivité vers l’extérieur et s’y connecter sans réseau chiffré (de type VPN), connecter son ordinateur à son réseau wifi personnel ou sur son téléphone 4G, ou encore partager ses fichiers avec des collègues sur internet via des « drive » en ligne et « grand public » … toutes ces actions ont exposé les systèmes d’information des collectivités de manière conséquente et les pirates informatiques vont clairement profiter de cette opportunité.
Selon Cybermalveillance.gouv.fr il y eu plus de 400% d’augmentation de tentatives d’hameçonnage (phishing) et ce, simplement pour le début de la période de confinement (avril 2020).
Par ailleurs, selon l’ANSSI (Agence Nationale de Sécurité des Systèmes d’Information) il faut s’attendre à une recrudescence importante des attaques par rançongiciels vers le mois de septembre ou octobre 2020.
Pourquoi ? Parce que c’est la stratégie d’attaque couramment utilisée. Les pirates profitent de n’importe quelle opportunité pour infiltrer le système d’information au moment au celui-ci est le plus vulnérable, cartographient celui-ci et volent les données qu’ils peuvent revendre et pour finir lancent plusieurs jours, semaines voire plusieurs mois après, le chiffrement des fichiers mais aussi des sauvegardes. Et bien sûr ils finissent par demander une rançon pour déchiffrer les données …
Avec la reprise du travail sur site, plusieurs centaines de postes informatiques infectés durant la période de confinement sont connectés à nouveau sur les réseaux informatiques des collectivités. Ils peuvent alors propager des codes malveillants ou tout simplement permettre l’accès au réseau informatique en toute discrétion.
250 jours : C’est le temps moyen pour détecter une attaque ou une intrusion informatique.
Il faut donc s’attendre, comme le prévoit l’ANSSI, à une augmentation des attaques par rançongiciels et anticiper dès à présent les mesures à prendre pour y faire face : Bon nombre de collectivités se focalisent – à juste titre – sur les conséquences sanitaires d’une nouvelle période de crise mais malheureusement les conséquences économiques et humaines d’une attaque informatique sont encore trop sous-estimées.
Que faut-il retenir de cette crise sanitaire ?
Restons positif et profitons de ce retour d’expérience pour sensibiliser au maximum les collectivités et les préparer aux risques à venir. Tant que l’expérience est encore récente, il faut que les collectivités en profitent pour mettre à jour leurs plans de continuité et de reprise d’activité, tester leurs sauvegardes et mettre en sécurité les jeux de données qui leur permettront de redémarrer en cas d’attaque majeure.
Ce n’est pas la seule mesure à prendre mais c’est sans doute l’une des premières que conseilleront systématiquement les membres de Déclic à leurs collectivités.
L’équipe de Cre@tic du Centre de Gestion du Nord (CDG 59)
www.creatic59.fr
