Cyberattaques, les comprendre et s'en prémunir - ESAIP
cyberattaques

Cyberattaques, les comprendre et s’en prémunir

De nombreux cas de cyberattaques défraient la chronique ciblant aussi bien des entreprises, des collectivités territoriales, que des hôpitaux.

Rédaction : Driss Essayed Messaoudi.

Une menace cyber en forte croissance

Dans la nuit du 16 juillet 2020, une filiale de la MMA a subi une attaque de type rançongiciel rendant le système d’information (SI) indisponible pendant 14 jours avec en prime, une demande de paiement de rançon. Le 30 janvier 2020, Bouygues Construction était victime d’une attaque massive impactant le siège social et les services informatiques avec des lignes téléphoniques coupées et des mails inaccessibles. Des centaines de Go de données chiffrées et les applications du SI ont été indisponibles plus de quatre semaines. Le montant de la rançon exigée représenterait plusieurs millions d’euros.

Les collectivités ne sont pas non plus épargnées par ces attaques. Dans la nuit du 13 au 14 mars 2020, la ville de Marseille et sa métropole ont été exposées à une attaque informatique « inédite par son ampleur et généralisée », la veille du premier tour des élections municipales. L’objet de l’attaque était de chiffrer les données des serveurs en contrepartie d’une rançon. L’’état civil informatique n’a pu être rétabli qu’un mois après la cyberattaque.

Récemment, la municipalité d’Angers a connu le même type d’attaque mais sans conséquences quant à l’exfiltration des données. Néanmoins, la cyberattaque a impacté fortement la messagerie et certains services municipaux.

Et en 2020, Toulouse, Evreux, Charleville-Mézière, Anthony, Alfortville, Vincennes, Annecy, Besançon, Mitry-Mory, ou encore le Conseil départemental d’Eure et Loire et la région Grand Est ont aussi été victimes de cyberattaques.

Les hackers malveillants ont un fort intérêt pour nos collectivités …

Les collectivités, des cibles privilégiées

L’objectif du cyber-attaquant  est de récupérer des données,  de créer des dysfonctionnements, ou rendre les systèmes indisponibles pour impacter l’organisation de la commune.

Il recherchera à :

– Exfiltrer des données sensibles comme les éléments liés à l’identité pour éventuellement usurper,
– Priver les salariés et les fonctionnaires de l’accès aux données et aux logiciels, par des services de comptabilité et des ressources humaines,
– Impacter les services médicalisés gérés par la ville et à désorganiser les soins prodigués aux résidents malades notamment.

Il est important de rappeler que le maire est pénalement responsable, une sensibilisation des élus est donc indispensable pour pouvoir faire face à ces situations. La mise en place de formations pour accompagner les représentants et les salariés devient cruciale.

Le cyber-attaquant cherche à abuser l’usager en usurpant son identité et peut aussi recourir au phishing qui se décline sous différentes formes en utilisant plusieurs vecteurs comme le chat, le mail et le site web.

Comment se deroule une cyber-attaque ?
La première étape vise à infecter la machine. L’infection se produit dès l’activation d’un lien, ou lors du téléchargement d’un fichier corrompu qui permet alors la mise en place de la charge virale à l’insu de l’utilisateur. L’attaquant prend alors le contrôle de la station de travail.

La seconde étape consiste à chiffrer les données, les fichiers, les systèmes d’exploitation, les serveurs, les bases de données ou encore la messagerie. Le recours à des protocoles de chiffrements tels que AES rend très difficile la récupération des données.

Le cas classique est celui du ransomware qui pénètre le système via la boîte mail. Une pièce jointe transportant la charge virale est donc installée sur la station de travail. Ce programme se connecte à l’extérieur et récupère d’autres programmes ou une clef de chiffrement. Avec cette dernière, le programme intrusif chiffre les données.

Si les serveurs de stockage et de sauvegarde sont affectés, l’impact sur l’entreprise ou la mairie devient plus conséquent. Les services peuvent être indisponibles pendant plusieurs semaines et ne plus assurer les prestations attendus par les clients et les fournisseurs. Le manque de stratégie par rapport à la sauvegarde est fortement corrélé avec la durée de rétablissement, de restauration des données et des services. « La négligence dans ce cas, se paie cash ».

La troisième étape concerne la demande de rançons qui se fait généralement à l’aide de cryptomonnaie. Les versements peuvent se faire en Bitcoin pour assurer la discrétion de la transaction réalisée avec le cyber-criminel.

Se prémunir d’une cyberattaque

Pour prévenir cette situation, la plus grande vigilance est de rigueur.

Alors faut-il abandonner le numérique (le risque zéro n’existant pas) ou mettre en place des solutions qui répondent aux risques connus et acceptables pour l’institution concernée ? 

Voilà quelques recommandations à appliquer régulièrement :

– Vérifier que l’orthographe des adresses mail est valide,
– S’assurer que l’url du site à visiter correspond bien au nom du site souhaité,
– Passer le pointeur de la souris sur le lien sans cliquer permettra d’identifier un site malveillant,
– Ne pas s’authentifier sur une page web malveillante ou sur une copie du site référencé,
– Eviter toute demande de téléchargement,
– Ne pas divulguer des informations personnelles,
– Eviter tout paiement hâtif,
– Éviter de consulter des pièces jointes de sources non identifiées,
– Sécuriser le poste de travail avec des outils tels que Hids, antivirus et anti-ransomwares,
– Appliquer les mises à jour régulièrement,
– Effectuer des sauvegardes sur des supports externes et hors ligne pour éviter toute propagation,
– Réaliser des tests de restauration régulièrement et vérifier l’intégrité des sauvegardes.

La dernière recommandation est de ne pas satisfaire les exigences du cyber-attaquant. Quel degré de confiance faut-il accorder à l’attaquant malveillant susceptible de ne pas tenir sa promesse et éventuellement de réitérer une attaque ?

Le plus raisonnable est de quantifier et hiérarchiser les risques encourus et, en fonction du niveau de gravité, déployer les solutions qui s’imposent pour les éliminer et réduire leur impact. Il est nécessaire de comparer les coûts à supporter en investissement matériels et logiciels avec la rançon sollicitée par le cyber-attaquant.

Les informations qui suivent ici sont fournies à titre indicatif et dépendent fortement des données et de l’infrastructure à protéger.

Une protection non exhaustive, en couche (incluant Firewall, Antivirus, Anti-spam, solution de sauvegarde pour restaurer les données et les serveurs) peut revenir à moins de 20 000 euros pour une entité de 10 à 30 salariés, solutions managées sur 3 ans (durée d’amortissement des équipements informatiques).

Une autre solution parmi tant d’autres serait de recourir à des services basés sur un centre d’opérations (SOC-as-a-Service). En général, une solution SOC interne peut être coûteuse et nécessiter du temps. Pour cette raison, de nombreuses organisations envisagent des services de sécurité externalisés, tels que les offres SOC-as-a-Service. Dans ce cas, la question est de savoir quelle données externaliser et quelles données conserver au sein de l’entreprise ?

Une question ? Contactez notre expert Driss Essayed Messaoudi : dessayed@esaip.org

Pour répondre à une demande croissante, l’ESAIP propose des formations spécialisées :

Bachelor en Ingénierie Informatique et Cybersécurité (Bac+3)
Découvrir la formation

Master Chef de Projet International (Bac+5)
Découvrir la formation

Cycle Ingénieur du Numérique (Bac+5 – Statut étudiant ou par apprentissage)
Découvrir la formation