Les collectivités territoriales, cibles de choix pour les cybercriminels

Les collectivités territoriales étant dépositaires d’une très grande quantité de données personnelles de leurs administrés, « les conséquences d’attaques informatiques peuvent être majeures à l’échelle d’une collectivité, et affecter de multiples champs de compétences et de nombreux citoyens », rappelle l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dans sa dernière synthèse de la menace ciblant les collectivités territoriales, publiée fin octobre 2023.

De janvier 2022 à juin 2023, l’ANSSI a traité 187 incidents cyber visant des collectivités territoriales, soit une moyenne de 10 incidents par mois. « Si l’objectif lucratif est, de loin, la première motivation des attaquants qui ciblent des collectivités territoriales, ces dernières peuvent cependant faire l’objet d’attaques à des fins de déstabilisation, voire même de compromissions liées à des opérations d’espionnage étatique. »

Les attaques à but lucratif, principale menace

Les collectivités territoriales sont des cibles de choix pour les cybercriminels car elles sont « souvent peu ou mal sécurisées, gestionnaires de systèmes d’information nombreux et disparates », et « peuvent éprouver des difficultés à maîtriser la cartographie de leurs réseaux et à les garder dans de bonnes conditions de sécurité », pointe l’ANSSI. C’est ce qui explique que de nombreuses municipalités sont victimes d’attaques menées au moyen de rançongiciels. Les attaquants profitent du fait qu’elles détiennent de nombreuses données administratives, financières et personnelles sur leurs administrés pour accentuer le chantage à la publication de ces données.

De janvier 2022 à juin 2023, pas moins de 40 incidents touchant des collectivités territoriales liés à des compromissions et chiffrements par rançongiciel ont été rapportés à l’ANSSI, soit 22% des incidents signalés. « Parmi les souches de rançongiciels observées, la souche LockBit a été observée à 18 reprises, soit près de la moitié des cas constatés. De façon plus marginale, les souches Hive, Conti et Play ont également été observées à plusieurs reprises », précise l’Agence.

Plusieurs mois nécessaires pour revenir à un fonctionnement normal

C’est le type d’attaques qui entraîne les conséquences les plus importantes sur le fonctionnement des collectivités territoriales ciblées : arrêt ou poursuite en mode dégradé des services publics (aides sociales, état civil, urbanisme, gestion de l’eau et des déchets...) et des services internes (téléphonie, messagerie, finance...). Plusieurs mois peuvent être nécessaires pour revenir à un fonctionnement normal. Quant à l’exfiltration et la publication de données, elles « constituent enfin un véritable enjeu pour les collectivités territoriales sur les plans juridiques et réputationnels », souligne le rapport.

Les collectivités sont également la cible d’arnaques dites « au président » et d’hameçonnage pour collecter de données, afin de les revendre sur des forums cybercriminels. Une cinquantaine compromissions de comptes de messagerie visant des collectivités territoriales ont ainsi été signalées à l’ANSSI entre janvier 2022 et juin 2023, ainsi que 43 intrusions dans le système d’information (hors attaques par rançongiciel), dont certaines ont permis de déposer un logiciel malveillant sur le réseau compromis.

Risques d’attaques de déstabilisation pendant les Jeux Olympiques

Autre principale cybermenace identifiée : les attaques à but de déstabilisation. Il peut s’agir d’attaques menées par des groupes d’activistes dont les motivations sont politiques (« hacktivistes ») ou d’attaques orchestrées par des groupes affiliés à des États dans un objectif de sabotage. « Si les collectivités françaises sont aujourd’hui davantage ciblées par des groupes dits ‘hacktivistes’, d’autres collectivités dans le monde ont pu être ciblées par des attaques destructrices, notamment conduites par des attaquants réputés étatiques », relève le rapport.

Ces dernières années, des collectivités françaises ont, en effet, été visées par des groupes cherchant une visibilité politique en s’attaquant à des sites Internet dont ils modifient le contenu pour y afficher leurs revendications, ou qu’ils bloquent par des attaques, par déni de service distribué (DDoS). « Ainsi, comme à la suite des attentats de janvier 2015 où de nombreuses communes françaises avaient vu leurs sites compromis par des hacktivistes se revendiquant de l’État islamique, des collectivités françaises font régulièrement l’objet de défigurations revendiquées par des groupes pro-russes, depuis le début de l’invasion de l’Ukraine, en février 2022. »

Les attaques à but de sabotage visant des collectivités territoriales sont en revanche assez rares en France. Mais, « dans le contexte d’une hausse de la menace à but de déstabilisation liée au conflit en Ukraine et à la prochaine organisation des Jeux Olympiques et Paralympiques de Paris 2024, cette menace doit continuer à être prise au sérieux », estime l’ANSSI.

Miren LARTIGUE