En Bourgogne-Franche-Comté, la gendarmerie et l’agence régionale du numérique font front commun contre les cyberattaques

A l’issue de la conférence organisée le 22 septembre dernier à laquelle plus de 80 représentants de communes de Côte d’Or (élus, directeurs de services, agents) ont participé, l’Agence Régionale du Numérique et de l’intelligence artificielle (ARNia) présidée par Patrick MOLINOZ et la Gendarmerie Nationale ont signé une convention de partenariat afin de s'engager sur une démarche commune et d'associer leurs compétences pour valoriser leurs actions respectives de prévention et de sensibilisation. La convention engage également l’ARNia à la formation des gendarmes de Bourgogne-Franche-Comté qui a démarré sans attendre il y a plusieurs mois : 45 gendarmes, qualifiés de référents cybersécurité, ont bénéficié de cette formation expliquant les grands principes de sécurisation des équipements informatiques afin d’améliorer leur travail quotidien d’enquêteur. D’autres gendarmes devraient être formés pendant toute la durée de la convention (3 ans).

Pour aider les entreprises et collectivités victimes de cyberattaques, ont été mis en place depuis 2022le CSIRT Bourgogne-Franche-Comté www.csirt-bfc.fr qui prodigue également des conseils, de la sensibilisation, de la prévention. Depuis le mois de janvier, le pôle sécurité de l’ARNia propose quant à lui des services pour répondre aux problématiques rencontrées le plus fréquemment : sensibilisation au phishing (hameçonnage), coffre- fort pour conserver les mots de passe en toute sécurité, sauvegarde externalisée de données, protection des réseaux informatiques, sécurité des systèmes d’information, protection des données, continuité d’activité.

Régions de France et la Gendarmerie Nationale veulent coopérer en matière de cybersécurité

Alors que la France est aujourd’hui le 4^e pays le plus visé par la cybercriminalité, les régions, pilotes du développement économique sur les territoires, s’engagent avec la Gendarmerie Nationale à renforcer sur leurs territoires les moyens d’action permettant de faire face à la menace cyber. A l’occasion du 18ème congrès de Régions de France organisé à Vichy les 15 et 16 septembre 2022, ils ont signé une convention de coopération.

Entreprises, administrations, collectivités, établissements publics, particuliers… tous les acteurs des écosystèmes régionaux sont aujourd’hui visés par cette menace multiforme qui ne faiblit pas. Et selon Agence nationale de la sécurité des systèmes d’information (ANSSI), la sophistication grandissante des cyberattaques observées sur le territoire national engendre des conséquences de plus en plus complexes et critiques. Pour Carole DELGA, Présidente de Régions de France, « face à la multiplicité des risques que représente la cybercriminalité, ce partenariat engagé avec la gendarmerie nationale doit ainsi permettre de renforcer nos moyens d’anticipation et de réaction en région, en lien avec les nouveaux CSIRT (Centre de réponse aux incidents cyber) en cours de déploiement ». Trois axes prioritaires de coopération sont actés à travers ce partenariat qui permettra la mise en réseau des acteurs sur les territoires, le développement des formations et des compétences, ainsi que la coordination opérationnelle des interventions dans un souci d’articulation efficace entre appui technique et réponse judiciaire. « Le renforcement de la coopération avec les collectivités territoriales est pour la Gendarmerie Nationale une étape clé dans la construction d’une stratégie de cybersécurité » affirme Olivier KIM, Général de corps d'armée et Directeur des opérations et de l'emploi de la Gendarmerie Nationale.

Cybersécurité : les régions préparent la riposte

Accompagnées par l’Agence nationale de la sécurité des systèmes d’information, les premières régions françaises mettent en place leur centre de réponse aux incidents cyber qui fournira assistance et conseil aux collectivités comme aux entreprises en cas de cyberattaques. Un nouveau service public pour protéger l’activité économique et sociale des territoires.

L’état de la menace cyber s’accentue selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en charge du pilotage du volet cybersécurité de France Relance, qui parle d’une multiplication par quatre du nombre d’attaques sur les deux dernières années, faisant parmi les collectivités et les établissements publics de nombreuses victimes, soit dans l’intention de désorganisation, soit pour des motifs cybercriminels à des fins lucratives. « La menace des rançongiciels continue de croître exponentiellement et les exemples récents confirment que les conséquences peuvent être très graves », avertissait l’an dernier Mathieu Feuillet, sous-directeur Opérations de l’ANSSI. Cette technique d’attaque courante de la cybercriminalité, consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. « Il faut com- prendre pourquoi nous en sommes arrivés là, analyse François Guyon, délégué du président, Numérique et territoire innovant et connecté de Niort Agglo. Du fait de la dématérialisation des services publics, de la digitalisation de tous nos services aux citoyens et aussi du développement de la ville intelligente sur l’ensemble des territoires de nos communes, nous générons une quantité très importante de données personnelles qui bien sûr intéressent les cybercriminels. » Pour apporter une réponse au plus près des territoires concernés, l’ANSSI annonçait en janvier 2022 la création de centres régionaux de réponse aux incidents cyber (CSIRT : Computer Security Incident Response Team) qui permettront à chacune des régions de proposer un service de réponse à un incident de proximité, complémentaire de celui proposé par les prestataires locaux, pour toutes les entités du territoire touchées par la menace cyber.

LES PREMIERS CENTRES SE METTENT EN PLACE

Normandie Cyber sera le premier CSIRT à ouvrir ses portes en France dès le mois d’avril 2022. Un écosystème normand favorisant la cybersécurité et qui selon Hervé Morin, président de la région Normandie « constituera un atout majeur pour le développement, la compétitivité et l’attractivité économique du territoire ». Car en Normandie comme ailleurs, la menace plane. Sur un panel de 2 000 entreprises interrogées par l’Observatoire des transformations numériques, piloté par la région, 23,4 % ont déjà été confrontées à un piratage ou à un risque de cyberattaque. Articulé avec les autres actions de la région, Normandie Cyber contribuera à structurer un écosystème normand de la cybersécurité dans le cadre d’une approche intégrale avec la mise en place d’aides économiques, d’une charte partenariale de la cybersécurité en Normandie, l’intégration d’une clause cybersécurité dans les marchés publics de la région, la mise en place d’actions de sensibilisation, la création d’une « Maison des hackeurs éthiques », des conventions d’objectifs avec les secteurs stratégiques normands ainsi que le développement des formations à la cybersécurité. La région Bourgogne-Franche-Comté a contractualisé avec l’État le 24 février 2022 pour la création d’un centre sur son territoire. C’est à l’Agence régionale du numérique et de l’intelligence artificielle (ARNia), créée début 2022 pour permettre aux communes, citoyens et entreprises la maîtrise politique des enjeux numériques, qu’elle a confié la mission de piloter la mise en place du centre de réponse régional. « Lorsqu’elle a répondu à l’appel à projets de l’ANSSI sur le CSIRT, la région a décidé de loger le centre au sein de cette agence régionale du numérique dont il va constituer une des premières pierres, explique Patrick Molinoz, le président de l’ARNia. En accompagnant les acteurs dans la résolution rapide des incidents et en les sensibilisant aux enjeux de la cybersécurité, le centre d’urgence régional contribuera à limiter les impacts sociaux-économiques de ces cyberattaques qu’il nous faut combattre tous ensemble. »

UN ACCOMPAGNEMENT DE TROIS ANS

Les CSIRT régionaux apportent une réponse concrète et immédiate aux victimes de cyberattaques de taille intermédiaire. Concrètement, grâce au programme d’incubation, ils pourront proposer très rapidement une aide personnalisée à la prise en charge des victimes, en les accompagnant depuis la déclaration de l’incident jusqu’à la fin de la remédiation en les orientant vers les bons prestataires et en leur indiquant les bonnes actions à mener. « Les quatre premiers mois seront destinés à la préfiguration du système opérationnel, explique Patrick Molinoz. Ils rempliront deux missions principales dont la première consistera à accompagner les victimes d’une cyberattaque, non pas pour reconstruire les systèmes mais pour guider les victimes dans la dé- marche à suivre. Ils rempliront aussi une mission de sensibilisation, de formation et d’accompagnement pour garantir une montée en compétences et en vigilance des acteurs en matière de cybersécurité. Par exemple éviter les mots de passe trop faibles ou l’absence de sauvegarde sur le cloud. Il y a un énorme travail à faire ». Les accords signés entre l’État et les régions permettront le financement par l’ANSSI, sous la forme d’une subvention d’un million d’euros, du fonctionnement de ce service de 2022 à 2024. À l’issue de ces trois années, les CSIRT ont vocation à être pérennisés grâce au développement de leur propre modèle économique.Pour l’heure, sept premières régions bénéficieront du programme entre février et juin 2022. Il s’agit de Bourgogne-Franche-Comté, du Centre Val de Loire, de Corse, du Grand Est, de Normandie, de Nouvelle Aquitaine et du Sud - Provence-Alpes-Côte d’Azur. Une deuxième session sera organisée de septembre à décembre 2022. À terme, l’ensemble des centres régionaux seront reliés en réseau.

Blandine Klaas

La course effrénée au numérique laisse de nombreux services publics à découvert

Au début de la pandémie, secteurs public et privé ont été confrontés aux mêmes défis IT : réagir rapidement pour développer et introduire des stratégies de télétravail efficaces, en particulier pour éviter l’arrêt des systèmes gouvernementaux essentiels. Dans le même temps, la nécessité d'améliorer l’expérience des citoyens lors des échanges avec ce type de services a rapidement nécessité la transition vers une administration numérique. Une analyse de Jean-Pierre Boushira Vice-President South, Benelux & Nordics, Veritas Technologies

Les institutions ayant pu abandonner les anciennes plateformes vieillissantes au profit de services partagés et de nouvelles technologies - telles que Microsoft 365 - ont largement migré vers le cloud. Dans quel objectif ? Améliorer la communication et la collaboration en interne comme avec les citoyens. Toutefois, même si le cloud s'est révélé être un véritable catalyseur pour la transformation numérique et le lancement des actions autour des données par les services du gouvernement, ces actions pourraient s’avérer handicapantes si les mesures de sécurité ne suivent pas le rythme.

Les dangers d’une innovation numérique trop rapide

Lorsque les organisations introduisent de nouvelles solutions dans leur pile technologique, les capacités de protection doivent en parallèle être étendues. Mais face à une pandémie mondiale que personne n'aurait pu prévoir, les entreprises ont dû innover rapidement, et leurs mesures de sécurité n'ont malheureusement pas pu suivre la cadence. De cette situation découle alors de nouvelles zones de vulnérabilité, au sein desquelles les systèmes et les données ont été laissés sans protection face aux attaques. D’après une récente étude, ce fossé entre l'innovation et la protection affecterait une large variété d'organisations, publiques et privées : 39% des entreprises et autres institutions publiques connaîtraient un déficit de sécurité en écho aux mesures de transformation digitale imposées par la crise du COVID.

Si une transformation numérique aussi rapide a apporté de nombreux avantages au secteur public, le revers de la médaille est à prendre en considération. Et pour cause, dans la précipitation, la sécurité est malheureusement passée au second plan. Résultat : des failles subsistent et n’attendent que d’être exploitées par les hackers pour en tirer profit. À l’international, 88 % des professionnels estimeraient avoir fait face à des temps d'arrêt au cours des 12 derniers mois à la suite de violations. Plus marquant encore, les entreprises à travers le monde auraient subi en moyenne 2,57 attaques par ransomware, qui auraient provoqué des temps d’arrêt et par conséquent perturbé leurs activités.

Bien plus qu’un simple outil rentable du crime organisé, le ransomware favorise la création d’écosystèmes de produits et de services permettant de toucher n'importe qui, n'importe où. Il est est alors devenu nécessaire de déployer des efforts supplémentaires afin de réduire le gap de vulnérabilité et d’élever le niveau de sécurité informatique au sein des infrastructures économiques, administratives et de santé.

Alors que les criminels continuent de chercher à exploiter les failles de sécurité des organisations, sur quoi les responsables informatiques du secteur public doivent-ils se concentrer ?

Gartner estime que plus de 85 % des organisations adopteront le principe du « cloud first » d'ici 2025, et que plus de 95 % des nouvelles charges de travail seront déployées sur des plateformes natives dans le cloud (contre 30 % en 2021). Mais au-delà de la nécessité pour les institutions publiques de déployer rapidement des services basés sur le cloud pour s’assurer de rester opérationnels, beaucoup sont encore aujourd'hui en retard quant à l’efficacité de leur gestion. Même si les trois quarts des entreprises et institutions françaises semblent avoir mis en place de nouvelles fonctionnalités ou ont étendu leur infrastructure cloud au-delà de leurs plans initiaux - en écho à la pandémie - beaucoup restent perplexes quand on leur demande combien de services ils utilisent au total à l’heure actuelle. De plus, ces organisations privées et publiques n’auraient qu’un aperçu partiel sur leurs données : 34% des données seraient des dark data en France et 48 % seraient redondantes, obsolètes ou triviales (ROT).

De manière générale, une stratégie de protection des données efficace exige une compréhension approfondie des données à protéger. Comment les institutions peuvent-elles protéger ce qu'elles ne peuvent pas voir ? Ce genre d'angle mort est un repère pour les cybercriminels qui s'acharnent à trouver des faiblesses. Mais cela ne représente qu’une partie du problème. Partons du principe que les institutions publiques ont une bonne visibilité sur leurs données (leur lieu de stockage au sein de leur architecture multi-cloud par exemple) : jusqu’où vont leurs responsabilités à l’égard de ces mêmes données ? Malheureusement, tous les contrats de services cloud ne sont pas toujours lus ou compris convenablement. En fait, la plupart des organisations sont encore persuadées que leur fournisseur de services cloud (CSP) est responsable de la protection et de la confidentialité des données. Pourtant, c’est généralement le client qui reste garant de ces aspects.

Comment les organismes du secteur public peuvent-ils commencer à prendre conscience de leurs responsabilités - et de leurs lacunes - alors qu'ils ne savent même pas combien de services cloud ils utilisent, ni les données qui y sont stockées ?

L'exploitation de la technologie numérique dans le secteur public ne peut se faire qu'en adoptant une approche plus proactive de la gestion des données, fondée sur la visibilité et la normalisation. Pour ce secteur, cela induit également la création de stratégies de protection des données qui couvre les services partagés, garantisse les sauvegardes et la sécurisation des données critiques tout en restant en conformité au niveau réglementaire et légal. Si cela semble facile sur le papier, la tâche se complique lorsque la visibilité sur les données fait défaut.

Finalement, le secteur public ne peut se permettre de se reposer sur ses lauriers. Même si les équipes IT du secteur ont déployé d’énormes efforts depuis de début de la pandémie, il s’agit maintenant de combler le gap de vulnérabilité créé par les initiatives de transformation numérique. Pour que la sécurité des données puisse rattraper l'innovation, gestion des dark data, prise en charge des charges de travail (et des services) dans le cloud il est nécessaire de mettre en place un plan complet de protection des données. En effet, l’ensemble de ces axes figurera au rang de priorités au cours des mois à venir.

Sept régions françaises engagées pour la cybersécurité

Face à la menace cyber de plus en plus prégnante, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a signé avec sept régions une convention pour la création de centres régionaux de réponse aux incidents cyber. Ces structures fourniront assistance et conseil en cas de cyberattaques.

Jean Rottner, président de la Région Grand est annonçait en décembre dernier, à l’occasion de la 3^e édition de « 360 Grand Est », l’événement phare de l’innovation et de la croissance en Grand Est, la création prochaine d’un centre régional de réponse d'urgence aux incidents de cyber, «une réponse concrète de l'Etat et de la région pour protéger les entreprises, les hôpitaux, les associations et les collectivités locales contre les nouvelles menaces ». Dès février 2022, des centres régionaux de réponse aux incidents cyber (CSIRT : Computer Security Incident Response Team) verront le jour également en Bourgogne Franche-Comté, Centre Val de Loire, Corse, Normandie, Nouvelle Aquitaine et du Sud - Provence Alpes Côte d’Azur et participeront au programme d’incubation mis en place par l’ANSSI. « Les CSIRT permettront aux régions de proposer un service de réponse à incident de proximité, complémentaire de celui proposé par les prestataires locaux, pour toutes les entités du territoire touchées par la menace cyber. En outre, en accompagnant leur résolution rapide, ces structures limiteront directement les impacts sociaux-économiques des cyberattaques » indique l’ANSSI dans un communiqué. Ils travailleront au service des entreprises, collectivités et associations locales pour les sensibiliser et les former aux bonnes pratiques cyber, réceptionner leurs signalements d’incident et les qualifier, mettre en relation les victimes avec les structures adaptées pour les accompagner dans la résolution de l’incident : prestataire local de réponse à incident, qualifié par l’ANSSI ou labellisé ExpertCyber par cybermalveillance.gouv.fr, CERT-FR - centre national de réponse à incidents au sein de l’ANSSI, services de police ou unités de gendarmerie, auprès desquels les dépôts de plainte seront encouragés.

Un centre par région à terme

Dans le cadre de cette convention, chaque région volontaire se verra attribuer une subvention à hauteur d’un million d’euros et bénéficiera d’un accompagnement méthodologique sous la forme d’un programme de formation de 4 mois. Les sept premières régions bénéficieront du programme entre février et juin 2022 et une deuxième session sera organisée de septembre à décembre 2022. L’objectif est que toutes les régions volontaires puissent disposer dès 2022 d’un tel centre, dont les capacités opérationnelles seront pleinement atteintes à l’horizon 2024 puis, à terme la mise en réseau des CSIRT régionaux au sein de l’InterCERT France – le réseau français des CSIRT. «Grâce au programme d’incubation, ces CSIRT régionaux seront en capacité de proposer très rapidement une aide personnalisée à la prise en charge des victimes, en les accompagnant depuis la déclaration de l’incident jusqu’à la fin de la remédiation, et en les orientant vers les bons prestataires et les bonnes actions à mener. C’est une formidable occasion de proposer, aux entités des territoires, une réponse de proximité adaptée. » a déclaré Guillaume Poupard, directeur général de l’ANSSI.

« Toutes les collectivités sont les cibles potentielles d’une cyberattaque »

« Aucune collectivité ne peut affirmer qu’elle est à l'abri d’une attaque, il est important de s’y préparer» prévient Pierre Gundelwein, Directeur du Numérique de la région Grand Est au moment où la collectivité, en février 2020, était victime d’une cyberattaque. L’objectif des cybercriminels? Obtenir une rançon en échange des données piratées. Aujourd’hui, la collectivité a renforcé la protection de ses systèmes d’information et sensibilise ses agents aux règles élémentaires de sécurité.

De quelle manière s'est manifesté la cyberattaque dont la région Grand Est a été victime en février 2020 ?

C’était exactement le vendredi 14 février 2020. Le responsable de la sécurité des systèmes d'information (RSSI) et moi-même avons constaté que tous nos fichiers étaient chiffrés, donc inaccessibles. Un message nous indiquait un mail à contacter pour obtenir la clé de déchiffrement. Très vite, le diagnostic était posé : nous étions victime d'un rançongiciel. Bien évidemment, nous n’avons pas cherché à négocier, il était hors de question de payer. Ce sont des consignes nationales.

Les services de la région étaient-ils préparés à affronter une telle situation ?

Personne n'est jamais vraiment préparé pour affronter un tel évènement mais nous n’étions pas pour autant démunis. Nous disposions d’une équipe en interne, composée d’agents spécialisés dans les infrastructures, le système et les réseaux, que nous avons rapidement mobilisée.. Immédiatement, nous avons informé les élus et la direction générale puis réuni la cellule de crise. Nous avons également contacté notre prestataire, la société Advens qui nous ont accompagné dans la résolution de cette crise ; nous avons également contacté l’ Agence nationale de la sécurité des systèmes d'information (ANSSI).. L’enjeu est avant tout technique puisqu’il faut s'assurer que les sauvegardes n'ont pas été atteintes et restaurer le système. Notre premier réflexe : couper du réseau les serveurs afin d’éviter toute propagation du virus. La communication, interne comme externe, constitue le deuxième enjeu majeur. Il fallait informer rapidement le cabinet du président de la Région afin qu’il puisse diffuser l’information à l’ensemble des élus, à la presse et bien sûr aussi en interne auprès des agents, des directeurs et des chefs de service. Enfin, l’enjeu est humain. Nous n’avions à ce stade aucune idée du temps qu’il nous faudrait pour rétablir le système d’information. Les équipes infrastructures, systèmes et réseaux allaient beaucoup travailler dans des conditions inhabituelles. Il fallait faire en sorte de les préserver.

Quelles conséquences sur les services de la région ?

Une cyberattaque engendre une perte de données et des dégâts dans les infrastructures. Elle peut également générer une fuite de données confidentielles. Par chance, l’attaque subie par la Région Grand est n’a pas permis aux cybercriminels de récupérer des fichiers sensibles. Les agents et les élus ont été privés de messagerie et d’accès aux documents sur les serveurs communs de la région. Environ 7 500 personnes ont été concernées ainsi que les différents sites de la collectivité (Siège à Strasbourg, 12 maisons de Région, … au total une quarantaine de sites). Rapidement, nous avons très mis en œuvre un plan d'action. Après une semaine, 80 % du système d'information était de nouveau opérant. Nous avons demandé aux agents, par mesure de précaution, de changer et renforcer leur mot de passe. Au bout d’une semaine, nous avons pu remettre certaines applications en ligne, à commencer par les plus sensibles, notamment les finances et les ressources humaines. Après dix jours d’intervention, les agents pouvaient de nouveau se remettre au travail.

Quels enseignements avez-vous tiré de cette expérience ?

Une bonne organisation est primordiale. Il est important de savoir déterminer très rapidement qui mobiliser car il ne sert à rien de multiplier les acteurs dans ce genre de situation. Et disposer d’un plan d’action afin de dresser un état des lieux précis de ce qui fonctionne et ce qui ne fonctionne pas pour agir ensuite de manière la plus efficace possible. Il est nécessaire de disposer d’un plan de continuité d’activité (PCA).

La région a-t-elle renforcé ses systèmes de sécurité ?

A la suite de cet événement qui fut un véritable électrochoc pour les élus comme pour les agents, nous avons constaté une meilleure prise en compte de nos messages de sensibilisation à la sécurité, et notamment lorsque nous avons renforcé notre politique des mot de passe. C’est un point positif. Il est primordial de sensibiliser et former les équipes pour amener de nouveaux comportements. En parallèle, nous avons renforcé notre système d'information parce qu’une cyberattaque n’est autre que l’exploitation par des personnes mal intentionnées d’une faille dans un système. Malgré tout, nous ne sommes pas à l’abri d’une nouvelle attaque. Enfin, des investissements prévus en 2021 pour renforcer la sécurité de nos systèmes ont été débloqués l’an dernier. Malheureusement, aucune collectivité ne peut affirmer qu’elle est à l'abri d’une attaque, il est important de s’y préparer.

Propos recueillis par Blandine Klaas