Régions de France et la Gendarmerie Nationale veulent coopérer en matière de cybersécurité

Alors que la France est aujourd’hui le 4e pays le plus visé par la cybercriminalité, les régions, pilotes du développement économique sur les territoires, s’engagent avec la Gendarmerie Nationale à renforcer sur leurs territoires les moyens d’action permettant de faire face à la menace cyber. A l’occasion du 18ème congrès de Régions de France organisé à Vichy les 15 et 16 septembre 2022, ils ont signé une convention de coopération.

Entreprises, administrations, collectivités, établissements publics, particuliers… tous les acteurs des écosystèmes régionaux sont aujourd’hui visés par cette menace multiforme qui ne faiblit pas. Et selon Agence nationale de la sécurité des systèmes d’information (ANSSI), la sophistication grandissante des cyberattaques observées sur le territoire national engendre des conséquences de plus en plus complexes et critiques. Pour Carole DELGA, Présidente de Régions de France, « face à la multiplicité des risques que représente la cybercriminalité, ce partenariat engagé avec la gendarmerie nationale doit ainsi permettre de renforcer nos moyens d’anticipation et de réaction en région, en lien avec les nouveaux CSIRT (Centre de réponse aux incidents cyber) en cours de déploiement ». Trois axes prioritaires de coopération sont actés à travers ce partenariat qui permettra la mise en réseau des acteurs sur les territoires, le développement des formations et des compétences, ainsi que la coordination opérationnelle des interventions dans un souci d’articulation efficace entre appui technique et réponse judiciaire. « Le renforcement de la coopération avec les collectivités territoriales est pour la Gendarmerie Nationale une étape clé dans la construction d’une stratégie de cybersécurité » affirme Olivier KIM, Général de corps d'armée et Directeur des opérations et de l'emploi de la Gendarmerie Nationale.

Cybersécurité : les régions préparent la riposte

Accompagnées par l’Agence nationale de la sécurité des systèmes d’information, les premières régions françaises mettent en place leur centre de réponse aux incidents cyber qui fournira assistance et conseil aux collectivités comme aux entreprises en cas de cyberattaques. Un nouveau service public pour protéger l’activité économique et sociale des territoires.

L’état de la menace cyber s’accentue selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), en charge du pilotage du volet cybersécurité de France Relance, qui parle d’une multiplication par quatre du nombre d’attaques sur les deux dernières années, faisant parmi les collectivités et les établissements publics de nombreuses victimes, soit dans l’intention de désorganisation, soit pour des motifs cybercriminels à des fins lucratives. « La menace des rançongiciels continue de croître exponentiellement et les exemples récents confirment que les conséquences peuvent être très graves », avertissait l’an dernier Mathieu Feuillet, sous-directeur Opérations de l’ANSSI. Cette technique d’attaque courante de la cybercriminalité, consiste en l’envoi à la victime d’un logiciel malveillant qui chiffre l’ensemble de ses données et lui demande une rançon en échange du mot de passe de déchiffrement. « Il faut com- prendre pourquoi nous en sommes arrivés là, analyse François Guyon, délégué du président, Numérique et territoire innovant et connecté de Niort Agglo. Du fait de la dématérialisation des services publics, de la digitalisation de tous nos services aux citoyens et aussi du développement de la ville intelligente sur l’ensemble des territoires de nos communes, nous générons une quantité très importante de données personnelles qui bien sûr intéressent les cybercriminels. » Pour apporter une réponse au plus près des territoires concernés, l’ANSSI annonçait en janvier 2022 la création de centres régionaux de réponse aux incidents cyber (CSIRT : Computer Security Incident Response Team) qui permettront à chacune des régions de proposer un service de réponse à un incident de proximité, complémentaire de celui proposé par les prestataires locaux, pour toutes les entités du territoire touchées par la menace cyber.

LES PREMIERS CENTRES SE METTENT EN PLACE

Normandie Cyber sera le premier CSIRT à ouvrir ses portes en France dès le mois d’avril 2022. Un écosystème normand favorisant la cybersécurité et qui selon Hervé Morin, président de la région Normandie « constituera un atout majeur pour le développement, la compétitivité et l’attractivité économique du territoire ». Car en Normandie comme ailleurs, la menace plane. Sur un panel de 2 000 entreprises interrogées par l’Observatoire des transformations numériques, piloté par la région, 23,4 % ont déjà été confrontées à un piratage ou à un risque de cyberattaque. Articulé avec les autres actions de la région, Normandie Cyber contribuera à structurer un écosystème normand de la cybersécurité dans le cadre d’une approche intégrale avec la mise en place d’aides économiques, d’une charte partenariale de la cybersécurité en Normandie, l’intégration d’une clause cybersécurité dans les marchés publics de la région, la mise en place d’actions de sensibilisation, la création d’une « Maison des hackeurs éthiques », des conventions d’objectifs avec les secteurs stratégiques normands ainsi que le développement des formations à la cybersécurité. La région Bourgogne-Franche-Comté a contractualisé avec l’État le 24 février 2022 pour la création d’un centre sur son territoire. C’est à l’Agence régionale du numérique et de l’intelligence artificielle (ARNia), créée début 2022 pour permettre aux communes, citoyens et entreprises la maîtrise politique des enjeux numériques, qu’elle a confié la mission de piloter la mise en place du centre de réponse régional. « Lorsqu’elle a répondu à l’appel à projets de l’ANSSI sur le CSIRT, la région a décidé de loger le centre au sein de cette agence régionale du numérique dont il va constituer une des premières pierres, explique Patrick Molinoz, le président de l’ARNia. En accompagnant les acteurs dans la résolution rapide des incidents et en les sensibilisant aux enjeux de la cybersécurité, le centre d’urgence régional contribuera à limiter les impacts sociaux-économiques de ces cyberattaques qu’il nous faut combattre tous ensemble. »

UN ACCOMPAGNEMENT DE TROIS ANS

Les CSIRT régionaux apportent une réponse concrète et immédiate aux victimes de cyberattaques de taille intermédiaire. Concrètement, grâce au programme d’incubation, ils pourront proposer très rapidement une aide personnalisée à la prise en charge des victimes, en les accompagnant depuis la déclaration de l’incident jusqu’à la fin de la remédiation en les orientant vers les bons prestataires et en leur indiquant les bonnes actions à mener. « Les quatre premiers mois seront destinés à la préfiguration du système opérationnel, explique Patrick Molinoz. Ils rempliront deux missions principales dont la première consistera à accompagner les victimes d’une cyberattaque, non pas pour reconstruire les systèmes mais pour guider les victimes dans la dé- marche à suivre. Ils rempliront aussi une mission de sensibilisation, de formation et d’accompagnement pour garantir une montée en compétences et en vigilance des acteurs en matière de cybersécurité. Par exemple éviter les mots de passe trop faibles ou l’absence de sauvegarde sur le cloud. Il y a un énorme travail à faire ». Les accords signés entre l’État et les régions permettront le financement par l’ANSSI, sous la forme d’une subvention d’un million d’euros, du fonctionnement de ce service de 2022 à 2024. À l’issue de ces trois années, les CSIRT ont vocation à être pérennisés grâce au développement de leur propre modèle économique.Pour l’heure, sept premières régions bénéficieront du programme entre février et juin 2022. Il s’agit de Bourgogne-Franche-Comté, du Centre Val de Loire, de Corse, du Grand Est, de Normandie, de Nouvelle Aquitaine et du Sud - Provence-Alpes-Côte d’Azur. Une deuxième session sera organisée de septembre à décembre 2022. À terme, l’ensemble des centres régionaux seront reliés en réseau.

Blandine Klaas 

La course effrénée au numérique laisse de nombreux services publics à découvert

Au début de la pandémie, secteurs public et privé ont été confrontés aux mêmes défis IT : réagir rapidement pour développer et introduire des stratégies de télétravail efficaces, en particulier pour éviter l’arrêt des systèmes gouvernementaux essentiels. Dans le même temps, la nécessité d'améliorer l’expérience des citoyens lors des échanges avec ce type de services a rapidement nécessité la transition vers une administration numérique. Une analyse de Jean-Pierre Boushira Vice-President South, Benelux & Nordics, Veritas Technologies

 Les institutions ayant pu abandonner les anciennes plateformes vieillissantes au profit de services partagés et de nouvelles technologies - telles que Microsoft 365 - ont largement migré vers le cloud. Dans quel objectif ? Améliorer la communication et la collaboration en interne comme avec les citoyens. Toutefois, même si le cloud s'est révélé être un véritable catalyseur pour la transformation numérique et le lancement des actions autour des données par les services du gouvernement, ces actions pourraient s’avérer handicapantes si les mesures de sécurité ne suivent pas le rythme.

Les dangers d’une innovation numérique trop rapide

Lorsque les organisations introduisent de nouvelles solutions dans leur pile technologique, les capacités de protection doivent en parallèle être étendues. Mais face à une pandémie mondiale que personne n'aurait pu prévoir, les entreprises ont dû innover rapidement, et leurs mesures de sécurité n'ont malheureusement pas pu suivre la cadence. De cette situation découle alors de nouvelles zones de vulnérabilité, au sein desquelles les systèmes et les données ont été laissés sans protection face aux attaques. D’après une récente étude, ce fossé entre l'innovation et la protection affecterait une large variété d'organisations, publiques et privées : 39% des entreprises et autres institutions publiques connaîtraient un déficit de sécurité en écho aux mesures de transformation digitale imposées par la crise du COVID.

Si une transformation numérique aussi rapide a apporté de nombreux avantages au secteur public, le revers de la médaille est à prendre en considération. Et pour cause, dans la précipitation, la sécurité est malheureusement passée au second plan. Résultat : des failles subsistent et n’attendent que d’être exploitées par les hackers pour en tirer profit. À l’international, 88 % des professionnels estimeraient avoir fait face à des temps d'arrêt au cours des 12 derniers mois à la suite de violations. Plus marquant encore, les entreprises à travers le monde auraient subi en moyenne 2,57 attaques par ransomware, qui auraient provoqué des temps d’arrêt et par conséquent perturbé leurs activités.

Bien plus qu’un simple outil rentable du crime organisé, le ransomware favorise la création d’écosystèmes de produits et de services permettant de toucher n'importe qui, n'importe où. Il est est alors devenu nécessaire de déployer des efforts supplémentaires afin de réduire le gap de vulnérabilité et d’élever le niveau de sécurité informatique au sein des infrastructures économiques, administratives et de santé.

Alors que les criminels continuent de chercher à exploiter les failles de sécurité des organisations, sur quoi les responsables informatiques du secteur public doivent-ils se concentrer ?

Gartner estime que plus de 85 % des organisations adopteront le principe du « cloud first » d'ici 2025, et que plus de 95 % des nouvelles charges de travail seront déployées sur des plateformes natives dans le cloud (contre 30 % en 2021). Mais au-delà de la nécessité pour les institutions publiques de déployer rapidement des services basés sur le cloud pour s’assurer de rester opérationnels, beaucoup sont encore aujourd'hui en retard quant à l’efficacité de leur gestion. Même si les trois quarts des entreprises et institutions françaises semblent avoir mis en place de nouvelles fonctionnalités ou ont étendu leur infrastructure cloud au-delà de leurs plans initiaux - en écho à la pandémie - beaucoup restent perplexes quand on leur demande combien de services ils utilisent au total à l’heure actuelle. De plus, ces organisations privées et publiques n’auraient qu’un aperçu partiel sur leurs données : 34% des données seraient des dark data en France et 48 % seraient redondantes, obsolètes ou triviales (ROT).

De manière générale, une stratégie de protection des données efficace exige une compréhension approfondie des données à protéger. Comment les institutions peuvent-elles protéger ce qu'elles ne peuvent pas voir ? Ce genre d'angle mort est un repère pour les cybercriminels qui s'acharnent à trouver des faiblesses. Mais cela ne représente qu’une partie du problème. Partons du principe que les institutions publiques ont une bonne visibilité sur leurs données (leur lieu de stockage au sein de leur architecture multi-cloud par exemple) : jusqu’où vont leurs responsabilités à l’égard de ces mêmes données ? Malheureusement, tous les contrats de services cloud ne sont pas toujours lus ou compris convenablement. En fait, la plupart des organisations sont encore persuadées que leur fournisseur de services cloud (CSP) est responsable de la protection et de la confidentialité des données. Pourtant, c’est généralement le client qui reste garant de ces aspects.

Comment les organismes du secteur public peuvent-ils commencer à prendre conscience de leurs responsabilités - et de leurs lacunes - alors qu'ils ne savent même pas combien de services cloud ils utilisent, ni les données qui y sont stockées ?

L'exploitation de la technologie numérique dans le secteur public ne peut se faire qu'en adoptant une approche plus proactive de la gestion des données, fondée sur la visibilité et la normalisation. Pour ce secteur, cela induit également la création de stratégies de protection des données qui couvre les services partagés, garantisse les sauvegardes et la sécurisation des données critiques tout en restant en conformité au niveau réglementaire et légal. Si cela semble facile sur le papier, la tâche se complique lorsque la visibilité sur les données fait défaut.

Finalement, le secteur public ne peut se permettre de se reposer sur ses lauriers. Même si les équipes IT du secteur ont déployé d’énormes efforts depuis de début de la pandémie, il s’agit maintenant de combler le gap de vulnérabilité créé par les initiatives de transformation numérique. Pour que la sécurité des données puisse rattraper l'innovation, gestion des dark data, prise en charge des charges de travail (et des services) dans le cloud il est nécessaire de mettre en place un plan complet de protection des données. En effet, l’ensemble de ces axes figurera au rang de priorités au cours des mois à venir.

 

 

Sept régions françaises engagées pour la cybersécurité

Face à la menace cyber de plus en plus prégnante, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a signé avec sept régions une convention pour la création de centres régionaux de réponse aux incidents cyber. Ces structures fourniront assistance et conseil en cas de cyberattaques.

Jean Rottner, président de la Région Grand est annonçait en décembre dernier, à l’occasion de la 3e édition de « 360 Grand Est », l’événement phare de l’innovation et de la croissance en Grand Est, la création prochaine d’un centre régional de réponse d'urgence aux incidents de cyber, «une réponse concrète de l'Etat et de la région pour protéger les entreprises, les hôpitaux, les associations et les collectivités locales contre les nouvelles menaces ». Dès février 2022, des centres régionaux de réponse aux incidents cyber (CSIRT : Computer Security Incident Response Team) verront le jour également en Bourgogne Franche-Comté, Centre Val de Loire, Corse, Normandie, Nouvelle Aquitaine et du Sud - Provence Alpes Côte d’Azur et participeront au programme d’incubation mis en place par l’ANSSI. « Les CSIRT permettront aux régions de proposer un service de réponse à incident de proximité, complémentaire de celui proposé par les prestataires locaux, pour toutes les entités du territoire touchées par la menace cyber. En outre, en accompagnant leur résolution rapide, ces structures limiteront directement les impacts sociaux-économiques des cyberattaques » indique l’ANSSI dans un communiqué. Ils travailleront au service des entreprises, collectivités et associations locales pour les sensibiliser et les former aux bonnes pratiques cyber, réceptionner leurs signalements d’incident et les qualifier, mettre en relation les victimes avec les structures adaptées pour les accompagner dans la résolution de l’incident : prestataire local de réponse à incident, qualifié par l’ANSSI ou labellisé ExpertCyber par cybermalveillance.gouv.fr, CERT-FR - centre national de réponse à incidents au sein de l’ANSSI, services de police ou unités de gendarmerie, auprès desquels les dépôts de plainte seront encouragés.

Un centre par région à terme

Dans le cadre de cette convention, chaque région volontaire se verra attribuer une subvention à hauteur d’un million d’euros et bénéficiera d’un accompagnement méthodologique sous la forme d’un programme de formation de 4 mois. Les sept premières régions bénéficieront du programme entre février et juin 2022 et une deuxième session sera organisée de septembre à décembre 2022. L’objectif est que toutes les régions volontaires puissent disposer dès 2022 d’un tel centre, dont les capacités opérationnelles seront pleinement atteintes à l’horizon 2024 puis, à terme la mise en réseau des CSIRT régionaux au sein de l’InterCERT France – le réseau français des CSIRT. «Grâce au programme d’incubation, ces CSIRT régionaux seront en capacité de proposer très rapidement une aide personnalisée à la prise en charge des victimes, en les accompagnant depuis la déclaration de l’incident jusqu’à la fin de la remédiation, et en les orientant vers les bons prestataires et les bonnes actions à mener. C’est une formidable occasion de proposer, aux entités des territoires, une réponse de proximité adaptée. » a déclaré Guillaume Poupard, directeur général de l’ANSSI.

« Toutes les collectivités sont les cibles potentielles d’une cyberattaque »

« Aucune collectivité ne peut affirmer qu’elle est à l'abri d’une attaque, il est important de s’y préparer» prévient Pierre Gundelwein, Directeur du Numérique de la région Grand Est au moment où la collectivité, en février 2020, était victime d’une cyberattaque. L’objectif des cybercriminels? Obtenir une rançon en échange des données piratées. Aujourd’hui, la collectivité a renforcé la protection de ses systèmes d’information et sensibilise ses agents aux règles élémentaires de sécurité.

De quelle manière s'est manifesté la cyberattaque dont la région Grand Est a été victime en février 2020 ?

C’était exactement le vendredi 14 février 2020. Le responsable de la sécurité des systèmes d'information (RSSI) et moi-même avons constaté que tous nos fichiers étaient chiffrés, donc inaccessibles. Un message nous indiquait un mail à contacter pour obtenir la clé de déchiffrement. Très vite, le diagnostic était posé : nous étions victime d'un rançongiciel. Bien évidemment, nous n’avons pas cherché à négocier, il était hors de question de payer. Ce sont des consignes nationales.

Les services de la région étaient-ils préparés à affronter une telle situation ?

Personne n'est jamais vraiment préparé pour affronter un tel évènement mais nous n’étions pas pour autant démunis. Nous disposions d’une équipe en interne, composée d’agents spécialisés dans les infrastructures, le système et les réseaux, que nous avons rapidement mobilisée.. Immédiatement, nous avons informé les élus et la direction générale puis réuni la cellule de crise. Nous avons également contacté notre prestataire, la société Advens qui nous ont accompagné dans la résolution de cette crise ; nous avons également contacté l’ Agence nationale de la sécurité des systèmes d'information (ANSSI).. L’enjeu est avant tout technique puisqu’il faut s'assurer que les sauvegardes n'ont pas été atteintes et restaurer le système. Notre premier réflexe : couper du réseau les serveurs afin d’éviter toute propagation du virus. La communication, interne comme externe, constitue le deuxième enjeu majeur. Il fallait informer rapidement le cabinet du président de la Région afin qu’il puisse diffuser l’information à l’ensemble des élus, à la presse et bien sûr aussi en interne auprès des agents, des directeurs et des chefs de service. Enfin, l’enjeu est humain. Nous n’avions à ce stade aucune idée du temps qu’il nous faudrait pour rétablir le système d’information. Les équipes infrastructures, systèmes et réseaux allaient beaucoup travailler dans des conditions inhabituelles. Il fallait faire en sorte de les préserver.

Quelles conséquences sur les services de la région ?

Une cyberattaque engendre une perte de données et des dégâts dans les infrastructures. Elle peut également générer une fuite de données confidentielles. Par chance, l’attaque subie par la Région Grand est n’a pas permis aux cybercriminels de récupérer des fichiers sensibles. Les agents et les élus ont été privés de messagerie et d’accès aux documents sur les serveurs communs de la région. Environ 7 500 personnes ont été concernées ainsi que les différents sites de la collectivité (Siège à Strasbourg, 12 maisons de Région, … au total une quarantaine de sites). Rapidement, nous avons très mis en œuvre un plan d'action. Après une semaine, 80 % du système d'information était de nouveau opérant. Nous avons demandé aux agents, par mesure de précaution, de changer et renforcer leur mot de passe. Au bout d’une semaine, nous avons pu remettre certaines applications en ligne, à commencer par les plus sensibles, notamment les finances et les ressources humaines. Après dix jours d’intervention, les agents pouvaient de nouveau se remettre au travail.

Quels enseignements avez-vous tiré de cette expérience ?

Une bonne organisation est primordiale. Il est important de savoir déterminer très rapidement qui mobiliser car il ne sert à rien de multiplier les acteurs dans ce genre de situation. Et disposer d’un plan d’action afin de dresser un état des lieux précis de ce qui fonctionne et ce qui ne fonctionne pas pour agir ensuite de manière la plus efficace possible. Il est nécessaire de disposer d’un plan de continuité d’activité (PCA).

La région a-t-elle renforcé ses systèmes de sécurité ?

A la suite de cet événement qui fut un véritable électrochoc pour les élus comme pour les agents, nous avons constaté une meilleure prise en compte de nos messages de sensibilisation à la sécurité, et notamment lorsque nous avons renforcé notre politique des mot de passe. C’est un point positif. Il est primordial de sensibiliser et former les équipes pour amener de nouveaux comportements. En parallèle, nous avons renforcé notre système d'information parce qu’une cyberattaque n’est autre que l’exploitation par des personnes mal intentionnées d’une faille dans un système. Malgré tout, nous ne sommes pas à l’abri d’une nouvelle attaque. Enfin, des investissements prévus en 2021 pour renforcer la sécurité de nos systèmes ont été débloqués l’an dernier. Malheureusement, aucune collectivité ne peut affirmer qu’elle est à l'abri d’une attaque, il est important de s’y préparer.

Propos recueillis par Blandine Klaas