Cybermalveillance. Renforcer la sécurité

Cette année, le nombre d’affaires judiciaires en lien avec la cybercriminalité a connu une hausse de + 20 % pour atteindre quelque 100 000 dossiers en cours, représentant près de 10 milliards d’euros de préjudice. Et ces chiffres seraient bien en deçà de la réalité, selon le directeur général de la Gendarmerie nationale, Christian Rodriguez, pour qui « on estime que pour une plainte déposée, il y a environ 250 attaques ». 

Il y a un an déjà, dans un guide qui vient d’être réactualisé (lire «En savoir plus »), l’AMF et l’Agence nationale de la sécurité des systèmes d’information (ANSSI) passaient au crible les principaux incidents rencontrés par les collectivités en matière de cybermalveillance. Sur le podium, la défiguration du site web de la collectivité (53 % des incidents) devançait alors la compromission des comptes de messagerie (26 %), suivie des attaques par des maliciels (14 %). Mais surtout, « les sites internet ne doivent pas être l’unique point d’attention », insistait l’ANSSI, soulignant que « l’origine des attaques informatiques est multiple, elles peuvent être d’origine externe (site Internet, téléphone mobile, cybercriminels...) ou interne (élus, agents, prestataires, clés USB, mots de passe faibles...) ». Toutes les vulnérabilités techniques, juridiques, organisationnelles et surtout humaines sont exploitées par les cyberpirates. Souvent en effet, l’erreur commence avec un simple clic dans un mail contenant un lien hypertexte frauduleux. 

Preuve de l’ampleur du risque, le « Commandement de la gendarmerie dans le cyber-espace » (COMCyberGEND), mis en place en février dernier, devrait passer de 7 000 membres à plus de 20 000 en 2022. Ce dispositif devrait en particulier permettre d’améliorer la sensibilisation des communes rurales en leur proposant des diagnostics de cybersécurité gratuits et personnalisés. Le ministère de l’Intérieur a adressé aux maires, début septembre, un courrier les incitant à se prémunir des nouvelles menaces numériques, accompagné « d’un support d’auto-évaluation de la sécurité numérique » des collectivités. « Développé par les spécialistes en cybersécurité de la gendarmerie nationale, en lien étroit avec l’AMF et le dispositif Cybermalveillance.gouv.fr (…), cet outil vise à aider les élus dans l’évaluation des faiblesses potentielles de leurs infrastructures numériques » (www.amf.asso.fr, réf. BW40872).
 

Adopter les bons réflexes

Le groupement d’intérêt public (GIP) Cybermalveillance (www.cybermalveillance.gouv.fr) formule trois préconisations essentielles : le choix de mots de passe « robustes et uniques », des mises à jour régulières sur tous les appareils, et des sauvegardes efficaces. Côté mots de passe, il est conseillé de bannir les suites logiques de chiffres ou de lettres (1234, azerty...) et d’imposer qu’il contienne au moins une majuscule, un chiffre, un caractère spécial et suffisamment de caractères (de 9 à plus de 15 selon le niveau de sensibilité).

Mais ce type d’identification unique comporte, lui aussi, ses limites surtout lorsque le mot de passe est connu de plusieurs utilisateurs. L’une des parades consiste à privilégier, lorsque cela est possible, l’authentification dite « multifacteur » (MFA). Il s’agit d’identifier un utilisateur au regard de ce qu’il sait (son identifiant et son mot de passe), de ce qu’il a (requête de vérification), de ce qu’il est (identité vérifiée via un dispositif biométrique, empreinte digitale, iris, voix…) ou de sa localisation.
 

Sensibiliser les agents

Côté prévention, le modèle de sécurité «Zero Trust » (zéro confiance) consiste à considérer que l’on ne doit faire confiance à aucun login, aucun utilisateur ni aucun appareil. Concrètement, avant de décider si un utilisateur doit pouvoir accéder à une ressource ou s’il faudrait l’autoriser à réaliser telle ou telle opération, il s’agit de vérifier et de sécuriser toutes les ressources, limiter et appliquer des contrôles stricts des accès, mais aussi d’enregistrer tout trafic sur le réseau. Vaste travail pour les collectivités et leurs responsables des systèmes d’information qui devront alors s’attacher à redéfinir la stratégie informatique en réduisant les droits d’accès aux seuls agents concernés, en installant des certificats générés par une infrastructure de gestion des clefs, ou en chiffrant les flux.

Des collectivités vont plus loin encore, à l’instar de Vannes (56). « Il ne faut pas perdre de vue que 80 % des risques cyber sont liés à l’humain et que 90 % des menaces proviennent d’un mail frauduleux », témoigne ainsi Anne Le Hénanff, adjointe au maire chargée de la performance de l’action publique et de la transformation numérique. Aussi la municipalité a-t-elle décidé de former en ligne tous ses agents et ses élus pour leur apprendre à déjouer les pièges des e-mails malveillants. S’en est suivie une campagne de faux courriels d’hameçonnage, menée par le responsable de la sécurité des systèmes d’information de la ville. Résultat : le taux de clics est passé de 23 à 6 % en l’espace d’un an. 

Pour l’heure, le GIP Cybermalveillance a lancé un nouveau label «Ville cyber responsable » à destination des collectivités locales pour valoriser les bonnes pratiques et sensibiliser le plus grand nombre. Les premières communes labellisées devraient être connues début 2022. 
 

Suivez Maires de France sur Twitter: @Maires_deFrance