Attaques par des rançongiciels : ce qu'il faut faire avant, pendant et après

DoppelPaymer, Sodinokibi, Mespinoza : les rançongiciels prolifèrent mais leur fonctionnement de base est identique. Ils chiffrent les données des ordinateurs attaqués et demandent une rançon en échange d'une clé de déchiffrement. La crise sanitaire, avec ses multiples postes à distance ouverts, a créé de nombreuses vulnérabilités dont ont su profiter les assaillants. «La numérisation de services et la dématérialisation s'accroissent dans les collectivités, donc les risques aussi, constate Jean-Jacques Latour, expert à cybermalveillance.gouv.fr, plateforme gouvernementale de sensibilisation aux risques “cyber”. On veut numériser sans forcément prendre en compte les risques, c'est comme sauter d'un avion sans parachute.»

Les signalements sur la plateforme pour des attaques par rançongiciels ont explosé par rapport à l'année précédente. Ces attaques sont le fait de réseaux de criminels, organisés en ligne. «Ce n'est pas un groupe criminel unique qui contrôle tout, explique François-Xavier Masson, directeur de l'Office central de lutte contre la criminalité liée aux technologies de l'information et de la communication. Les pirates sont en contact entre eux grâce aux réseaux sociaux et se complètent en mettant à la disposition des autres leurs savoir-faire : préparation du logiciel, envoi des messages, identification des failles, captation des données, blanchiment des données et de l'argent…»

Plusieurs collectivités ont accepté de faire un retour d'expérience, pour que leur mésaventure serve à en empêcher d'autres. Elles y ont mis une condition : leur anonymat. «Nous voulons éviter de nous retrouver exposés et donc de donner des billes aux attaquants», explique le directeur des systèmes d'information (DSI) d'une collectivité de l'Est de la France, attaquée il y a quelques mois. Ces offensives ont souvent eu lieu le vendredi soir, ou le week-end. «Une fois que les pirates ont réussi à entrer dans le réseau, ils restent des jours, voire des semaines, explique Jean-Jacques Latour. Ils repèrent les actifs, détruisent les sauvegardes s'ils y parviennent et choisissent le moment pour l'attaque : quand la pression est maximale.»

Traces laissées par les pirates

Une fois l'attaque constatée, faire une revue des dégâts est important. «Ils ont trouvé les serveurs de sauvegarde et les ont explosés», se souvient le DSI dans l'Est. «On a perdu toutes nos données de travail, notre serveur de fichiers, les tableaux de bord. Heureusement, on a pu récupérer une partie des données chez nos prestataires», constate de son côté un directeur général adjoint (DGA) d'une agglomération attaquée en 2019. En parallèle, il faut faciliter l'identification des traces laissées par les pirates qui seront transmises à l'Agence nationale de la sécurité des systèmes d'information (Anssi) et aux autorités, en cas de plainte. «Il faut récupérer un maximum d'informations et de journaux de connexion pour les analyser», se souvient un responsable de la sécurité informatique (RSSI) d'une grande ville. Alors que le message garantissant que «tout serait plus simple contre quelques bitcoins» s'affiche sur tous les écrans, aucune collectivité n'a payé de rançon. «Il est recommandé de ne jamais payer», note l'Anssi dans un guide sur le sujet. «En payant, vous alimentez le système criminel ; surtout, vous n'êtes pas garantis de retrouver vos données», confirme François-Xavier Masson.

Les priorités - paie des agents, versement du revenu de solidarité active (RSA) pour les départements -ont ensuite dû être rapidement gérées. « On savait quelles étaient les applications les plus sensibles ou importantes. Mais il y a des choses que l'on n'a pas pu anticiper, note-t-on dans une grande ville. Nous étions en pleine crise sanitaire et la direction des opérations funéraires nous appelle pour une urgence : il a fallu remonter en 48 heures le système d'information pour gérer les concessions dans les cimetières… »

Numéro d'équilibriste

Une petite ville attaquée à quelques jours des élections a dû reconstituer à la hâte des listes d'émargement grâce à la mobilisation de plusieurs agents. Alors que les systèmes d'information sont paralysés, prévoir une communication efficace peut ressembler à un numéro d'équilibriste. «Il faut faire attention à ne pas donner d'informations contre-productives», prévient la directrice générale des services (DGS) d'un département attaqué. Les premiers jours, elle a privilégié les SMS pour communiquer avec les agents. D'autres ont dû se passer de courriels pendant plusieurs semaines. Un retour en arrière technologique imposé. «Le papier n'est pas prêt de disparaître», ironise un DGS attaqué. Les attaques sont l'occasion de se montrer résilient, notamment par la fortification des systèmes informatiques. «On a fait intervenir un prestataire très rapidement pour nous aider à reconstituer le réseau, se souvient un directeur général adjoint, mais la procédure d'urgence dans les marchés publics ne fait pas apparaître le risque “cyber”, il faudrait que ça soit modifié. » Dans une commune attaquée en 2019, «les supports de sauvegarde ne restent pas allumés en permanence».

Un travail de longue haleine

Le DGA d'une autre ville ciblée confirme : «Il est important d'avoir des sauvegardes dignes de ce nom et, surtout, de ne pas mettre tous les œufs dans le même panier.» Selon Jean-Jacques Latour, «avec des mises à jour, des mots de passe solides et une sauvegarde hors ligne, 90 % des attaques pourraient être réglées». La mise à niveau des systèmes de sécurité ne se fait pas sans impact. La double authentification, qui consiste à demander confirmation d'une connexion par un code reçu sur le téléphone, adopté par le service technique d'une agglomération et l'ensemble des agents d'un département obère la fluidité du travail.

«Il y a des actions de sensibilisation à mener régulièrement sur le “phishing” [hameçonnage], le changement fréquent des mots de passe. C'est un travail de longue haleine qu'il faut reprendre régulièrement», détaille la DGS d'une collectivité attaquée pendant l'été. «Nous avons instauré de nouvelles recommandations et commandé la prestation d'Avant de cliquer, une société spécialisée dans la prévention des risques de phishing et d'intrusion auprès des agents», explique de son côté un DSI.

Mais ces actions coûtent cher. Le Club de la sécurité de l'information français (Clusif) a publié un rapport (*) selon lequel, une communauté de communes estime à 400 000 euros l'impact financier d'une attaque. «La sécurité informatique, ça coûte cher, prévient un DGA, mais tout remettre en place après une attaque, ça coûte encore plus cher. Lorsque les systèmes sont remis en place, tout n'est pas pour autant terminé. Les attaquants publient régulièrement des données pour remettre la pression, plusieurs semaines après les attaques. «Il faut prendre en compte ce nouveau risque sur la confidentialité des données », note l'Anssi dans son « Etat de la menace rançongiciel» (février 2020).

La communication est primordiale, pour ne pas dégrader la confiance, avec parfois des données personnelles d'administrés qui traînent en ligne. Dans le rapport du Clusif pourtant, 53 % des collectivités attaquées interrogées disent ne pas avoir communiqué sur l'attaque. Alors que cela sert aussi de prévention. «J'ai fait un retour de ce qui nous est arrivé à tous les collègues des hôpitaux, départements et communes que je côtoie», explique le DSI d'une commune. Parfois, l'attaque est un lointain souvenir. Le même DSI se désole : «Malgré l'attaque, j'ai encore un peu de mal à trouver un budget. Il faut pourtant des gens spécialisés qui aient le temps de travailler.»

(*) « Menaces informatiques et pratiques de sécurité en France », Clusif, juillet 2020. A lire sur bit.ly/3nWBFv9

« L'une des solutions est la mutualisation »

Cyril Bras, responsable de la sécurité des services informatiques (RSSI) de Grenoble - Alpes métropole (49 communes, 443 100 hab. )

« La cybersécurité doit être prise en compte au plus haut niveau, c'est stratégique. Il est important de respecter l'hygiène numérique en général, mais pas seulement sous le prisme technique. La prise de conscience pour les collectivités est douloureuse parce qu'auparavant le sujet a été malmené. On le voit au positionnement du RSSI dans la hiérarchie. La solution est notamment la mutualisation, le levier se situant au niveau des intercommunalités. Il ne faut pas forcément mutualiser les systèmes informatiques, mais la compétence de sécurité des services informatiques. On est d'ailleurs en train de créer un réseau de RSSI pour s'aider et partager entre les collectivités rapidement. »

 

« Il faut de la transparence » 

Jérôme Poggi, responsable des services informatiques de Marseille (863 300 hab. )

« A cause de la cyberattaque [les 13 et 14 mars 2020], on ne pouvait plus accéder aux mails, échanger avec les citoyens était impossible. Il fallait donc communiquer en interne comme en externe, surtout que nous n'étions pas les seuls touchés, la métropole l'était aussi. Il faut de la transparence. Je pense qu'en termes de communication, on a fait au mieux. On s'est exprimé assez tôt et on a bien fait : plus on attend, plus les gens se posent des questions. Surtout, c'était la veille des élections [premier tour des municipales] et il était impossible de laisser les complots prospérer. A Marseille, on a toujours été vigilants au sujet des élections : le système qui centralise les résultats a un réseau dédié, qui n'a pas été impacté. La communication permet aussi de sensibiliser au-delà de sa collectivité : j'ai été en contact avec d'autres RSSI qui nous ont remerciés d'avoir été transparents. »