Alors que le système administratif français rassemble les informations personnelles de milliers de personnes, les services publics sont devenus des cibles prioritaires pour les cyberattaques. Depuis fin 2019, l’association Déclic a recensé plus de 130 attaques cybercriminelles, sur tous types de services publics. Hôpitaux, universités, mairies et bien d’autres tentent de lutter, mais se retrouvent souvent impuissants face à cette menace.

Pourquoi les administrations sont-elles des victimes faciles?

La vulnérabilité du secteur public a de nombreuses explications. D’abord sa numérisation croissante, qui s’est accompagnée d’une explosion de données mises en ligne : du service des impôts jusqu’au système judiciaire, en passant par les universités, ce sont une multitude de services qui se sont complètement digitalisés en quelques années.

Par ailleurs, les administrations publiques continuent à utiliser des circuits très vulnérables pour stocker leurs données. En effet, nombre d’entre elles ont gardé leur vieux système de stockage d’information ; certains datent ainsi de plus de 15 ans ! 

Le tout dans un contexte où les directions de systèmes d’information manquent de moyens humains et financiers, et se penchent rarement sur les enjeux d’une telle masse d’informations dans leur système ainsi que les menaces associées.

L’insuffisance des investissements dans la cybersécurité laisse des failles béantes dans la plupart des systèmes informatiques. 

Le secteur de la santé en est l’une des principales victimes. La prolifération des outils numériques et la digitalisation grandissante des hôpitaux font des établissements de santé des proies faciles pour les pirates informatiques. « Dans les hôpitaux, il y a une culture de l’ouverture : les portes, les ordinateurs, les mots de passe, tout est ouvert et se partage », explique Vincent Trely, consultant en stratégie numérique de santé sur le site de challenges.fr.

Une tendance accrue depuis la pandémie

La crise liée au Covid-19 n’a fait qu’accélérer la prolifération des cyberattaques. Alors que seulement 20 attaques ont été recensées en 2019, le secrétaire d’État à la Transition numérique Cédric O a estimé qu’au moins une attaque par semaine a été lancée contre un hôpital depuis le début de la vague Covid en France. Les assaillantes et assaillants profitent en effet de la faiblesse momentanée des effectifs hospitaliers. La surcharge de travail et le surplus d’informations à enregistrer pour les établissements de santé n’ont fait qu’augmenter leur vulnérabilité. 

L’hôpital de Corbeil-Essonnes (centre hospitalier sud francilien) en a fait douloureusement les frais en août 2022 lorsque des hackers se sont infiltrés dans son système, et ont dérobé 11,7 Go de données sensibles. Les assaillants ont paralysé le fonctionnement de l’hôpital, en rendant inaccessibles tous ses logiciels métiers et systèmes de stockage des informations de la patientèle. L’hôpital n’a pas cédé à la menace de diffusion des dossiers médicaux de ses patientes et patients, mais l’attaque de grande ampleur l’a mis à l’arrêt plusieurs mois.

Comment les hackers procèdent-ils ?

Les pirates agissent de différentes façons pour attaquer leurs victimes : les attaques par déni de service distribué (DDoS), le phishing, ou encore la fuite de données. Mais leur méthode préférée reste les ransomwares. Il s’agit d’un type de logiciel malveillant, qui empêche les utilisateurs et utilisatrices d’accéder à leur système ou à leurs fichiers personnels, et exige le paiement d’une rançon en échange du rétablissement de l’accès. Les données volées sont donc prises en otage, jusqu’au versement d’une rançon. S’ils n’obtiennent pas la contrepartie, les hackers utiliseront directement les données personnelles (numéro de sécurité sociale, carte vitale, carte de crédit, etc.) pour les revendre à prix d’or sur le darkweb.

C’est ce qu’il s’est passé à l’hôpital de Corbeil-Essonnes, dont la direction était invitée à payer 10 millions de dollars pour débloquer le système informatique. La non-collaboration de l’hôpital s’est soldée par la diffusion d’informations de bon nombre de ses patientes et patients.

Il existe également des attaques à but non lucratif, durant lesquelles des apprentis du hacking testent leurs compétences pour s’aguerrir sur des systèmes dits « faibles », et à terme, viser plus haut. 

Ces professionnelles et professionnels du hacking, venant de partout dans le monde, s’infiltrent dans les failles du système, puis déploient un virus avant de lancer l’assaut. À noter que les attaques se déroulent souvent pendant le week-end, pour profiter d’un temps de réaction plus long des équipes informatiques.

Comment remédier aux cyberattaques des administrations ? 

Protéger et sécuriser les administrations publiques face à la cybercriminalité font partie des missions principales du gouvernement d’Emmanuel Macron. En effet, l’actuel président de la République a annoncé en février 2021 qu’il consacrerait un budget additionnel d’un milliard d’euros pour « renforcer la stratégie en matière de cybersécurité ». Le plan France Relance, lui aussi, propose 136 millions d’euros pour renforcer spécifiquement la sécurité des services publics. Même si ces démarches ont déjà été initiées, elles subissent le retard que la France a pris en matière de sécurité numérique. Selon Tethris, entreprise spécialisée dans la cybersécurité, la France est classée 12e en matière de sensibilisation à la cybersécurité, sur les 28 pays de l’Union européenne. 

Malgré les annonces du gouvernement et les différents budgets déployés, la cybersécurité met du temps à se mettre en place. On remarque alors le décalage entre les ambitions budgétaires de l’État, et les outils techniques dont il dispose. 

Autre problème : les acteurs publics se retrouvent souvent en difficulté pour recruter des « cyber talents », ces derniers travaillant pour la plupart dans le secteur privé. Même s’il n’en a jamais été question, du moins publiquement, un partenariat entre le monde privé et le secteur public pourrait bien être la piste numéro un dans la quête de la cybersécurité. Les entreprises privées ont en effet dû s’améliorer techniquement pour se protéger contre les cybermenaces, disposant d’effectifs et d’outils technologiques aujourd’hui très efficaces. Face au besoin de l’État de renforcer ses moyens humains et techniques, une collaboration avec le secteur privé pourrait devenir cruciale dans un futur proche.

« La cybersécurité est un sport d’équipe. Le partenariat est essentiel, car aucune organisation ne dispose d’une vue d’ensemble. » Morgan Adamski, directeur du Centre de collaboration en cybersécurité de la NSA.

Lire aussi

À deux mois de l’événement, l’organisation des JO se heurte à la réalité structurelle du secteur de la sécurité privée

Sécurité & Sûreté humaine
28 mai 2024

Ce sont pas moins de 18 000 agents de sécurité privée en moyenne qui devront être quotidiennement mobilisés pour répondre aux besoins sécuritaires des Jeux olympiques de Paris 2024. Tandis que du côté de l’organisation, on se veut publiquement rassurant, il se murmure en coulisses que le nombre requis pourrait…

L’Europe renforce son arsenal de lutte contre la criminalité environnementale

Sécurité & Sûreté humaine
14 mai 2024

Le 27 février 2024, les députés européens ont voté pour l’application d’une directive élargissant la liste des infractions environnementales et durcissant les sanctions à l’encontre de leurs auteurs. Une démarche entreprise dans le but d’enrayer la croissance de la criminalité environnementale, qui figure parmi les activités illégales les plus lucratives…