Le Dark-Net à l’assaut des Collectivités Locales
C’est un fait : les attaques informatiques à l’encontre des collectivités locales et principalement des municipalités se multiplient.
En janvier 2015, suite aux attentats, une vague de cybercriminalité a touché les collectivités, entraînant la perte de nombreuses bases de données sensibles et la perte de contrôle des sites internet. L’interconnexion des réseaux, la montée en puissance des objets connectés, la multiplication des sous-traitants et partenariats avec d’autres organismes… nombreux sont les facteurs qui contribuent à la multiplication des cyberattaques au sein des collectivités territoriales.
Territoires intelligents et connectés = risques de cybercriminalité augmentés
Avec le développement de l’e-administration, les sites internet des collectivités voient transiter un nombre de données exponentiel qui attire l’attention et augmente les possibilités d’une attaque.
De la mairie de Toulouse qui lutte depuis fin avril contre une attaque malveillante, aux attaques contre les villes de Marseille, de Martigues, de la métropole d’Aix-en-Provence récemment, de la ville de Cognac empêchée d’exercer sa mission de service public car privée de moyen informatique pendant plus d’un mois en novembre 2019, jusqu’aux plus petites communes comme celle de Crêts en Belledone (3.400 hab.) piratée et rançonnée en mars 2020, les collectivités locales sont devenu des cibles de choix pour les hackers.
Mauvaise pioche pour Belledone
Pour cette petite commune située dans l’Isère en région Auvergne-Rhône-Alpes, ce sont des données personnelles concernant les agents, nom, adresse, numéro de téléphone, tableau des astreintes, mais également des fichiers du Centre d’Action Sociale (CAS), l’identité et les adresses d’enfants fréquentant le centre de loisirs pour les 3/6 ans, etc. qui ont fait l’objet d’une saisie illégale avec demande de rançon assortie de menace de divulgation.
Pour négocier la rançon, les pirates ont d’ores et déjà diffusé près de 5.000 documents extraits de fichiers couvrant une période allant de 2014 à mars 2020 selon le site d’information zataz.com
La menace en cas de non-paiement de la rançon (dont le montant n’a pas été communiqué), est de diffuser d’autres informations sensibles, puis d’en proposer d’autres – les plus recherchées – aux enchères sur les places de marché de l’internet clandestin (le « black market » du « dark net »). La captation illicite de données à caractère personnel poursuit différents objectifs qui vont de la restitution du larcin moyennant rançon, à des usages plus élaborés permettant le pillage de compte bancaire et l’usurpation d’identité par le biais d’un numéro de sécurité sociale par exemple.
Sous le sapin, des données de santé par milliers
Vendues en masse les données personnelles relevant du domaine de la santé valent leur pesant de gélules.
A 0,40 euros l’unité en moyenne pour un simple quidam jusqu’à plus d’1 euro pour une femme enceinte de son premier enfant (entre 0,60 et 0,80 pour les suivants) les enchères vont bon train entre les acteurs officiels de la collecte que sont les Google, Amazon, Facebook, Uber etc.
Ceux là agissent en pleine lumière et nous éblouissent à tel point que tout comme le soleil, nous ne pouvons les regarder en face. Paradoxalement plus visible est le côté sombre de cette médaille incandescente, surtout lorsque celle-ci vient frapper notre intimité pour un usage auquel nous n’avons pas librement consenti.
En décembre dernier, les laboratoires LifeLabs, acteurs majeurs du secteur de la santé ont du payer une rançon pour récupérer l’accès aux dossiers de 15 millions de patients. Les faits se sont déroulés deux mois plus tôt lors d’une cyberattaque assez troublante si l’on se réfère aux moyens de protection mis en œuvre et certifiés par des spécialistes internationaux. Les voleurs se sont emparés des adresses, courriels, noms d’utilisateur, mots de passe, numéros de carte d’assurance maladie et résultats d’examens.
Que sont devenues ces données ? Qui pourrait être intéressé pour en racheter tout ou partie sur le dark-net ?
La justice va devoir se prononcer sur la plainte déposée en recours collectif devant la Cour supérieure de l’Ontario le 27 décembre, au nom des Canadiens victimes de ce vol, et qui réclame un dédommagement de 1,3 milliard $ !
Quant il s’agit de données de santé le Père Noël ne fait pas de cadeau…
Vite, une ordonnance ! et une sévère !
Lorsque l’on connaît l’extraordinaire engouement des marchés pour nos données de santé, il apparaît logique que les professionnels du secteur et, au-delà, toute organisation collectant des données sensibles, deviennent des cibles de choix pour les hackers et autres cybercriminels.
Les données de santé pèsent pour 10% (2,5 Zo) du volume total du Big Data. Leur commerce avoisinera les 70 Milliards de dollars d’en moins de 5 ans. Logique donc que les appétits s’aiguisent.
Les acteurs du domaine social sont donc également dans le viseur… Avec les données personnelles que nous leurs confions !
Manque de moyens financiers pour mettre en œuvre le minimum de sécurité dans les échanges, ou bien manque d’attention, voire d’informations sur le sujet ?
Quelque soit le diagnostic, faute de prévention les virus et autres rançongiciels n’ont pas fini de faire des ravages dans le corps médical, mais pas que : il n’aura échappé à personne qu’en dehors de ces milieux professionnels, les premiers collecteurs de nos données à caractère personnel sont les instances communales…
Collectivités locales et données de santé : une mine d’or
Depuis la prise en otage d’août dernier du groupe Ramsey Général de Santé, puis celle du CHU de Rouen à la même période, ce type d’attaque se multiplie car la demande – notamment en données de santé – est de plus en plus forte et les pirates ont identifiés depuis longtemps maintenant l’état d’impréparation d’une immense majorité de collectivités peu sensibilisées – à commencer par leurs élus – aux risques informatique et juridique encourus.
Le déploiement en urgence de mesures de télétravail a contribué à la fragilisation d’un ensemble de systèmes d’informations, par ailleurs interdépendants en termes d’échanges et de partages de données dites « sensibles ».
Il y a donc fort à craindre que de nouvelles opérations de ce genre viennent affecter le fonctionnement de nos collectivités et mettent en péril non seulement les données concernant leurs agents, leurs élus, mais également celles de leurs administrés.
Le moment est propice : entre installation de nouveaux conseils municipaux et second tour d’élection, reprise délicate d’activités dans les intercommunalités, les conseils Régionaux et Départementaux, les regards sont ailleurs, accaparés par l’urgence d’une reprise d’activité administrative et économique qui mobilise toutes les forces et toutes les énergies…
Hardi, Maires de France, sauvegardez-vous à droite, sauvegardez-vous à gauche !
Toutes les forces ? oui, y compris celles des cyber-malveillants qui ne feront sûrement pas l’économie de cet effet d’aubaine. Plus que jamais l’heure, si elle n’est pas encore à la mobilisation générale, doit être celle d’une prise de conscience individuelle et collective.
Dans les faits cela doit se matérialiser par un passage en revue de l’ensemble des processus et procédures relevant de la sécurité informatique au sein de chaque collectivité. A charge pour celle-ci de s’appuyer notamment sur les obligations en la matière que leur impose le Règlement Général sur la Protection des Données (RGPD) et les recommandations de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
Par facilité et économie de temps et de moyens, les plus petits seront également la cible de petits hackers : il faut bien se faire la main…
Nul doute que les citoyens que nous sommes nous montrerons de plus en plus exigeant sur la manière et les moyens déployés par nos Services Publics pour assurer la sécurité des données que nous leurs confions.
Alors oui, soyez hardis Maires de France, sauvegardez-nous à droite, à gauche, où au centre, qu’importe ! Mais surtout sachez déployer les moyens nécessaires à la protection de notre droit fondamental à disposer de nos données, et soyez prêts à justifier des meilleurs efforts entrepris dans le respect des lois qui protègent notre vie sous sa forme numérique.
Hervé Manfrini – le 8 juin 2020