CyberSanté

Les services publics face aux cyberattaques

Collectivités paralysées, administrations bloquées, hôpitaux menacés, ces titres font malheureusement l’actualité.

Les cyberattaques dans le secteur public sont endémiques depuis quelques années, en faisant la proie idéale des cyber attaquants.

La digitalisation et la pandémie de Covid-19 y ont joué un rôle essentiel. Un organisme gouvernemental (ou une administration publique) est chargé de gérer un grand nombre d’informations confidentielles, et ces données sont particulièrement exposées.

Où en est-on de la sécurisation numérique sur ce secteur, à quoi est-il confronté, et comment TEHTRIS s’engage à le protéger ? Nous allons tenter de répondre à toutes ces questions.

Le secteur public, très touché par les cyberattaques

Quel est le niveau de sécurité dans ce secteur ?

Constat Cyber

Le rapport BDO Cyber ​​Threat Insights – Q4 2018 annonçait déjà que les OIV à travers le monde étaient menacées du fait de l’obsolescence du parc informatique. La technologie héritée laisse des trous béants dans la sécurité des systèmes informatiques. Si on ajoute les problèmes d’effectifs, en partie liés au départ à la retraite de ses agents, tout ceci n’aide pas à envisager un environnement serein.

Depuis 3 ans les campagnes d’attaques contre les services publics sont de plus en plus fréquentes. Il suffit d’observer les journaux pour découvrir que pas un jour ne passe sans qu’un établissement de santé, une mairie, une école, une collectivité locale, n’aient dû faire face à une action cyber criminelle.

Lors de l’attaque WannaCry de 2017, (selon un rapport sur les violations de données 2019 de Verizon), « les organisations du secteur public étaient la cible numéro un dans 19 secteurs examinés ». Aux États-Unis, des villes entières ont été temporairement mises à genoux par des attaques contre des ministères, idem en grande Bretagne et en France. L’Espagne n’y échappe pas. Le gouvernement espagnol a contenu plus de 600 attaques en 2021. L’Espagne est le troisième pays au monde à subir le plus de cyberattaques.[1]

Quand le crime touche un hôpital, c’est tout un système qui est impacté, (voir notre article : Le Monde de la Santé face aux Cyberattaques) : des opérations reportées, des transferts de patients, des services entiers complétement désorganisés.

Face à un tel déchaînement, certains organismes sont démunis.

Financièrement d’une part, des millions d’euros sont en jeu. Les directeurs des systèmes d’information du secteur public sont amenés parfois à choisir entre moderniser et innover sans impacter les budgets. La plupart des collectivités françaises consacre moins de 10% de leur budget à la cybersécurité [2] Les collectivités évoquent un manque de moyens, de temps et l’existence « d’autres priorités ».

Dans un contexte aussi tendu, la sécurité IT est privilégiée, parfois au détriment de l’innovation.

Techniquement d’autre part, certains services doivent renouveler leur parc, s’équiper de technologie robuste.

L’indisponibilité due à une attaque ciblant des IoT ou des OT aurait des effets catastrophiques. Chaque secteur doit assurer la continuité du service public. Cela était le cas pour les hôpitaux de Dax, Oloron-Sainte-Marie, Villefranche-sur-Saône ou encore l’Assistance Publique – Hôpitaux de Paris (AP-HP) qui ont subi des cyber attaques en 2021. En mars 2020, plusieurs hôpitaux espagnols étaient à leur tour touchés.

D’autres exemples fleurissent en Europe :

  • Le 14 mai 2021, le HSE (le réseau du ministère de la Santé) a été touché par une attaque de rançongiciel « Conti » en Irlande.
  • En Allemagne, le nombre de cyberattaques réussies contre des prestataires de services de santé a plus que doublé en 2020 par rapport à 2019.
  • En Espagne, le secteur de la santé a été et continue d’être l’un des secteurs les plus touchés. En 2020, plus de 50 000 attaques contre des organisations ont été signalées dans le secteur, dont 375 ont réussi.

Le secteur de la santé est souvent médiatisé et considéré comme fortement exposé, ce qui est exact mais … aucun service public n’échappe au risque cyber.

Quand le crime touche des organismes publics, comme des collectivités locales, des mairies, cela engendre des pertes de données, des coûts en termes de remise en fonctionnement des systèmes, des coûts liés à l’inactivité du personnel qui ne peut poursuivre son travail et se retrouve au chômage technique, etc. Tout ceci porte préjudice non seulement à la collectivité elle-même mais aussi aux administrations, aux régions, et aux usagers.

Force et de constater que malheureusement la plupart des organismes publics ne sont pas prêts en termes de sécurité.

Selon une étude du GIP Cybermalveillance publié le 17 mai 2022, 65% des communes de moins de 3.500 habitants se croient à l’abri des cyberattaques. [3]

L’exemple de cyberattaque sur la ville de Marseille pendant les élections municipales de 2020 ; l’attaque DDOS, en décembre 2018, où des cyber-militants ont ciblé plusieurs sites internet institutionnels le prouve bien malheureusement.

Le risque d’avoir des effets dévastateurs sur les prestations, mais aussi la perte de confiance du public, le non-respect de la réglementation (La directive Network and Information System Security (NIS)), encouragent le développement de programme de sécurité.

La transformation digitale dans ce secteur est colossale, cela demande encore des mises à niveaux, et surtout cela a élargi la surface d’attaque dans laquelle s’engouffre les cybercriminels.

De nouvelles méthodes, de nouveaux outils, de nouveaux processus de protection doivent être mis en place. L’aventure commence et est loin de se terminer !

Nature des attaques

La nature des attaques change en raison de la protection des organismes.

Ainsi elles peuvent provenir de vecteurs extrêmement basiques mais qui fonctionnent encore, comme une clé USB infectée ( 52%[4]  utilisent des appareils non approuvés pour le travail), un mail de phishing, une faille zéro Day, des vols de données (48 % des acteurs du secteur public sondés déclarent avoir subi une cyberattaque ou un vol de données.[5]) combinée a du doxing[6], ou encore des attaques DDOS comme nous venons de le voir.

À noter également qu’une des failles assez communes dans ce secteur provient du fait que « près de la moitié des élus interrogés utilisent leurs outils personnels pour la mairie comme pour un usage extramunicipal. »[7]

Au niveau Européen ; le dernier rapport Deloitte, en 2021, stipule que 94 % des entreprises espagnoles ont subi au moins un incident grave de cybersécurité . Une étude de Checkpoint confirme ces chiffres et annonce en moyenne 1 040 cyberattaques par semaine et par organisation, soit une augmentation de 79 % par rapport à 2020. L’éducation et la recherche sont les secteurs les plus touchés.

Les besoins des organismes publics

Le secteur public est, tout comme le secteur privé, concerné par les risques numériques, mais il se distingue par des besoins spécifiques en matière de sécurité. La digitalisation a engendré de nouveaux environnement IT augmentant les menaces et créant de nouveaux défis. En voici quelques un :

Croissance des services numériques

La croissance des services numériques passent par :

  • La prise en compte des exigences de protection des données
  • L’application d’une réglementation spécifique
  • L’implication des agents dans la sécurité
  • L’imposition des règles aux prestataires
  • L’accompagnement et l’assistance.

Pour cela ils doivent choisir des prestataires spécialisés, qui comprennent les spécificités de ce secteur et qu’il est indispensable d’intégrer. Il est nécessaire de rappeler également que les structures sont très diversifiées, on constate une hétérogénéité en matière :

  • d’équipements informatiques, médicaux, logiciels, systèmes d’information… Nous avons dans n’importe quel pays, de grandes administrations avec des centaines de milliers de fonctionnaires et à côté de toutes petites municipalités. Pour exemple le système éducatif touche à la fois des étudiants et des professeurs, sur des systèmes IOT différents, ce qui explique que l’Éducation nationale et l’Enseignement supérieur ont des besoins spécifiques en termes de cybersécurité.
  • de diversité des personnels, des métiers, des organisations, des processus.

Le secteur public s’est engagé dans une transformation numérique indispensable, accélérée par les récents évènements (pandémie, crise Ukrainienne…). Le mot d’ordre est résilience, et cela passe par :

  • Une meilleure visibilité sur une surface d’attaque étendue (Protection des IOT et OT), et des compétences pour couvrir tous ces actifs.
  • Le rattrapage du retard technologique

Passage au cloud

39% des organisations publiques au niveau mondial ont adopté le cloud comme principal modèle d’exploitation informatique. [8]

Le déploiement et la planification du cloud : “cloud-centric” figure aussi sur la liste des défis que devra mener ce secteur.

  • Le secteur public a fait ce choix pour des questions de budget en permettant d’avoir plusieurs fournisseurs, en évitant ainsi la dépendance à un seul et unique fournisseur de cloud ; mais également pour faciliter la personnalisation.
  • L’autre avantage du passage au cloud pour ce secteur concerne la mobilité des applications.
  • Enfin il permet aussi aux gouvernements d’obtenir plus de flexibilité.

Compétitivité

Pour bénéficier de budget, ce secteur doit définir ses besoins en cybersécurité lors des commandes publiques.

  • La pandémie a obligé ce secteur à investir dans la sécurité : 50% basé sur l’IA, 40% sur la mise à niveau de l’infrastructure informatique existante.
  • Les impératifs stratégiques restent : la question du stockage des données, la mise en place de la 5G afin de maintenir un niveau compétitif.

Les solutions à apporter aux organismes publics et sécurité des données

Un partenariat privé-public

Le secteur public aura beaucoup de difficulté à recruter des talents cyber. Ce secteur subit déjà une forte pénurie, aussi la solution est de travailler avec des entreprises spécialisées comme TEHTRIS. Les secteurs public et privé coopèrent pour renforcer la cybersécurité.

C’est en mutualisant nos ressources et en ajoutant une réponse automatisée aux incidents que nous apprenons les uns des autres et que nous combattons mieux les attaquants. TEHTRIS l’a bien compris et le secteur public lui fait confiance depuis plusieurs années.

Parmi les exemples, nous citerons la collaboration police et secteur privé. Les autorités policières ont la possibilité et la capacité d’arrêter les cybercriminels, de saisir leur matériel, de détruire leurs infrastructures ; tandis que le secteur privé va pouvoir apporter sa pierre à l’édifice en anticipant, analysant les techniques d’attaques des cybercriminels, en apportant des informations sur les flux de données et sur les menaces.

Le Campus Cyber est la preuve que les mentalités évoluent :  de nombreux OIV (opérateurs d’importance vitale) et OSE (opérateurs de services essentiels) sont présents dans cet écosystème, afin de partager des informations sur les menaces et comprendre leur évolution. De nombreuses sociétés privées sont présentes sur le site ; c’est le cas de TEHTRIS. La commission cybersécurité de Numeum œuvre également dans ce sens.

Confidentialité des données

L’autre préoccupation du secteur public concerne la confidentialité des données. Les acteurs privés et publics doivent être indépendants. Nous devons renforcer notre souveraineté économique et numérique.

Compte tenu de la valeur des données, il est impératif d’être assuré qu’elles ne se perdent pas dans la nature ou aillent dans de mauvaises mains. Où les données sont-elles stockées ? Qui y a accès ? Sont-elles sécurisées ? TEHTRIS offre une solution souveraine. Notre XDR souveraine, développée et hébergée en France et en Europe, peut être interfacée avec vos solutions de cybersécurité et améliorer leur rendement (Open XDR). TEHTRIS XDR agit 24h/24 et 7/7, et est labellisée « Utilisé par les Armées Françaises ».

D’autres initiatives naissent comme TeleTrusT-Initiative « IT Security made in EU » ainsi que Cybersecurity made in Europe, via notre partenaire ECSO.

De plus, choisir TEHTRIS c’est s’assurer de disposer localement d’équipes capables de vous accompagner opérationnellement et à la demande en R&D. Il est plus productif de disposer d’équipes locales que des équipes à des milliers de kilomètres.

Un coup de pouce financier

En France, l’état s’engage et prend la mesure de l’urgence, en veut pour preuve le projet France Relance, qui compte débloquer 136 millions d’euros, le site de l’ANSSI détaille le plan ici : https://www.ssi.gouv.fr/actualite/france-relance-et-cybersecurite-proteger-letat-et-les-collectivites-territoriales/

On peut retrouver sur le site du gouvernement le détail des montants qui constitue la stratégie nationale cyber : https://www.entreprises.gouv.fr/fr/strategies-d-acceleration/strategie-d-acceleration-cybersecurite

Ce plan s’adresse aux petites et moyennes organisations, organismes et collectivités publiques et privés.

Il existe deux formules, l’une sert à « cofinancer des projets et des parcours cyber pour les systèmes d’information existants. » ; l’autre à la création d’un plan d’incubation pour le CSIRT[10] régional.

En Espagne, le Gouvernement a annoncé une nouvelle mesure via la création d’un Centre Opérationnel de Cybersécurité (COCS) afin de diminuer le nombre de cyberattaques. Ce centre vise à aider l’Administration Générale de l’État (AGE) et ses organismes publics. A cette initiative s’ajoute le Plan Choc qui lui comprend des mesures comme la protection contre les codes malveillants, l’extension des services de détection des cybermenaces sur les équipements des utilisateurs et la mise en place d’une surveillance des accès à distance.

Sensibilisation

43% des répondant du secteur public disent « n’être pas du tout informé » quant au risque cyber.[11]

Il est primordial d’associer à tout un arsenal technique, la sensibilisation aux bons réflexes numériques. Même si les élus locaux prennent désormais la pleine mesure du risque cyber, il est important de poursuivre les plans de formations, les simulations auprès de cette population. Il est crucial de comprendre à la fois les menaces internes et les menaces externes.

Le site cybermalveillance.gouv.fr propose différentes actions de sensibilisations et de formation, à travers des vidéos, des campagnes, et des supports.

La France est classée 12ème en matière de sensibilisation à la cybersécurité, parmi les 28 pays de l’Union européenne. [12]

De nombreux organismes public aident pour accompagner à cette sensibilisation, nous avons cité l’ANSSI mais l’EC3 lutte également contre le cyber crime, l’ENISA L’Agence Européenne de Cybersécurité s’occupe de l’expertise de la sécurité informatique au niveau Européen. En France le CERT-FR, Le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques, traite les alertes et réagi aux attaques informatiques.

Une technologie robuste et adaptée

La surface d’attaque d’une organisation publique est de plus en plus grande, plus complexe et plus difficile à défendre. Maintenir la visibilité sur ces parcs informatiques peut être ardue. Il faut sécuriser les infrastructures, les actifs et les données critiques, le cloud, les IoT…

Des politiques et des cadres solides sont un élément de base pour créer des environnements plus sécurisés. La modernisation des plateformes informatiques est une priorité. Les équipes de sécurité ont besoin de meilleurs outils de collaboration pour se défendre contre les futures cyberattaques. Il est impératif de lutter contre ces cyberattaques via des outils performants. La protection cyber est un enjeu clé pour les acteurs publics.

Nous aidons les agences gouvernementales, les régions, les services publics et les municipalités à protéger leurs systèmes d’information. En fonction des systèmes informatiques, IOT ou OT que nous devons protéger, TEHTRIS propose ses technologies EDR, Mobile Threat Defense, SIEM et Deceptive Response.

Notre solution protège l’ensemble de vos OS Windows, Linux et Mac.

Un différentiateur clé de TEHTRIS est également sa compatibilité avec les anciennes versions de Windows, Linux et Mac, ce qui s’avère être de la plus haute importance pour les administrations publiques.

Les organisations du secteur public doivent absolument réduire le délai entre la compromission et la détection, en veillant à ce que les attaques soient identifiées le plus tôt possible. Les solutions XDR de TEHTRIS sont hyper automatisées et répondent en temps réel. Cette agilité est un vrai plus pour sécuriser votre périmètre.

Notre équipe de spécialistes est disponible pour vous accompagner.

[1] Commandement interarmées du cyberespace (MCCE).

[2] Analyse Fortinet 2022

[3] https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/etude-cybersecurite-collectivites-moins-de-3500-habitants

[4] Rapport « L’informatique du Secteur Public en 2022 : Faire face au Shadow IT dans un monde hybride » de NinjaOne.2022

[5] Rapport « L’informatique du Secteur Public en 2022 : Faire face au Shadow IT dans un monde hybride » de NinjaOne.2022

[6] Divulgation de données personnelles

[7] https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/etude-cybersecurite-collectivites-moins-de-3500-habitants

[8] Selon le cabinet Vanson Bourne. 2022

[9] https://www.cybermalveillance.gouv.fr/tous-nos-contenus/actualites/etude-cybersecurite-collectivites-moins-de-3500-habitants

[10] Centres régionaux de réponse à des incidents cyber

[11] Étude réalisée par Infopro.2021

[12] BDO Cyber ​​Threat Insights – Q4 2018