Retour au blog

Les cyberattaques contre le secteur public français en 2023

Cybersécurité • 05 avril 2024

Depuis plusieurs années, les administrations publiques font face à une montée en puissance des cyberattaques. Institutions gouvernementales paralysées, hôpitaux au fonctionnement dégradé, mairies victimes de vols de données… En 2023 particulièrement, le service public français s’est vu attaqué de toute part. Du Sénat à France Travail, en passant par les administrations territoriales, découvrez notre tour d’horizon des cyberattaques à l’encontre du secteur public les plus marquantes de 2023.

Le secteur public, une cible de choix pour les cyberattaquants 

 

Chaque année, les cyberattaques à l’encontre des administrations publiques prennent un peu plus de place dans la presse. Les chiffres parlent d’ailleurs d'eux-mêmes : entre janvier 2022 et juin 2023, 187 incidents ont été signalés par des collectivités territoriales à l'ANSSI, soit une moyenne de 10 par mois.¹

Cet intérêt grandissant des hackers pour le service public s’explique par plusieurs raisons :

  • Le service public est devenu une cible privilégiée des cyberattaquants en raison de la nature des données qu'il stocke. Les informations sensibles sur les citoyens telles que les numéros de sécurité sociale, les données de santé, les avis d'imposition ou encore les coordonnées se revendent à prix d’or sur le Darknet, assurant un profit immédiat aux hackers.

  • Les systèmes d'information du service public jouent un rôle essentiel dans des domaines vitaux comme la santé, les services aux citoyens et les finances. La paralysie de ces entités offre aux attaquants l'opportunité d'exercer des pressions variées, allant du chantage à la demande de rançon, engendrant des conséquences potentiellement dévastatrices.

  • Sur le plan technique, la vulnérabilité du secteur public aux cyberattaques s’explique notamment par un manque de moyens financiers et humains indispensables à la sécurisation d'un SI. Ces lacunes exposent les organisations à des attaques plus ou moins sophistiquées et ciblées, principalement basées sur de l'ingénierie sociale (phishing)

Les administrations territoriales victimes de cyberattaques en 2023

Les mairies dans le viseur des cyberattaquants


Parmi les administrations territoriales françaises, de nombreuses mairies ont été victimes de cyberattaques en 2023.

La commune de Betton, située au nord de Rennes, a notamment été prise pour cible lors d'une cyberattaque de type ransomware en août dernier. 

Le rançongiciel, revendiqué par le groupe de cybercriminels Medusa, a bloqué le système d'information de la commune en chiffrant ses données. Les hackers ont exigé une rançon de 100 000 dollars en échange d'une clef de déchiffrement permettant de rétablir l'accès. La municipalité a réagi rapidement en déposant une plainte à la gendarmerie et en sollicitant l'ANSSI pour renforcer sa réponse face à cette attaque.

Malgré le non-paiement de la rançon, les services de la mairie ont donc continué de fonctionner (en mode dégradé), mettant en avant l'efficacité des sauvegardes informatiques de la ville pour préserver les données sensibles et minimiser les perturbations.

Cependant les cybercriminels ont fini par diffuser publiquement la base de données dérobée, contenant de nombreuses informations personnelles sur les habitants de Betton, telles que des pièces d’identité, des adresses et des échanges administratifs.

Quelques jours plus tôt, le collectif Medusa avait usé du même mode opératoire contre la mairie de Sartrouville. Résultat : des bulletins de paie, des échanges professionnels, et des pièces d’identité d’élus municipaux se sont rapidement retrouvés sur le Darweb. 

Outre le vol de données, les cyberattaques visant le secteur public ont également des conséquences financières. La mairie de Lille, attaquée par le groupe de cybercriminels Royal en mars 2023, estime en effet le coût de la compromission à 1 million d’euros. Outre la dégradation de ses services, cette somme engloberait entre autres les démarches administratives papiers qui ont suivi la cyberattaque.

Parmi les autres mairies touchées par les cyberattaques en 2023 on compte :

  • La ville d’Angoulême : l’origine de la compromission serait un mail de phishing envoyé par le collectif de hackers BlackCat. Ils ont depuis fait le choix de déployer le gestionnaire de mots de passe LockPass pour venir protéger les accès de l'ensemble des collaborateurs.

  • La mairie de Morlaix : victime d’un ransomware.

  • La Communauté de communes Chalosse Tursan : l’attaque s’est traduite par l’effacement complet des données sur son serveur.

  • La ville de Mandeure : malgré sa petite taille (5000 habitants), la mairie s’est vu demander une rançon de 5 millions de dollars pour retrouver ses données cryptées.

  • La commune d’Ozoir-la-Ferrière : en plus de paralyser le site internet de la mairie, l’attaque s’est propagée à la page Facebook de la ville, sous la forme de commentaires invitant les internautes à cliquer sur un lien frauduleux.

Les départements victimes de cyberattaques en 2023


Parmi les vecteurs d’attaques privilégiés par les hackers, on compte l’ingénierie sociale

L’arnaque au président est justement une technique d’ingénierie sociale, à travers laquelle les cybercriminels usurpent l'identité d'une figure de haut rang pour tromper une organisation et obtenir des fonds. 

En 2023, le département de Saône-et-Loire en France a été victime de cette arnaque, perdant près de 350 000 euros. Les assaillants ont compromis la boîte mail du service départemental d'incendie et de secours (SDIS), imitant la signature du président du conseil départemental. Ils ont ensuite créé un faux RIB, et persuadé le conseil départemental de verser une subvention réservée au SDIS. L'argent, initialement destiné au congrès annuel des sapeurs-pompiers, a été détourné vers un compte contrôlé par les fraudeurs. La qualité élaborée de la falsification, qui a impliqué l'utilisation d'un formulaire authentique en plus de la fausse signature, a trompé le service comptable du conseil départemental, conduisant ainsi au transfert de fonds en toute confiance.

Si le département a depuis réussi à récupérer l’intégrité de la somme grâce à la justice, les cybercriminels restent à ce jour non identifiés. 

Pour se protéger face à ce type d’attaque, le SDIS de l’Isère a mis en place LockTransfer, afin de garantir la sécurité des documents échangés entre ses différentes parties prenantes. Découvrez le retour d’expérience de Maxime Welmant, Ingénieur système et infrastructure du SDIS 38 pour sécuriser l’envoi de fichiers sensibles vers leurs parties prenantes.

Tous les autres départements victimes de cyberattaques en 2023 n’ont pas eu cette chance :

  • Le conseil départemental du Loiret a été touché par une attaque par ransomware, revendiquée par les hackers russophones de Lockbit. Des données d’archives du département ont été diffusées sur le Darkweb quelques semaines après l’intrusion. 

  • La collectivité territoriale de Martinique a subi une attaque par Déni de Service Simplifié (DDoS), suivi d’un ransomware. Pendant plusieurs semaines, les agents ont dû revenir aux démarches papiers, et ont vu le paiement de leurs heures supplémentaires suspendu jusqu’au retour à la normale. 

Tour d’horizon des cyberattaques contre le service public en 2023

Les hôpitaux ne sont pas épargnés par les cyberattaques


D’après le Panorama de la cybermenace 2022 réalisé par l’ANSSI, le domaine de la santé serait le troisième secteur le plus touché par les cyberattaques en France ². À l’échelle mondiale, le Healthcare Data Institute le place quant à lui en troisième position au premier trimestre 2023.³

En juin 2023, le CHU de Rennes a subi une cyberattaque perpétrée par le groupe de pirates informatiques BianLian, spécialisé dans les rançongiciels.
 
Les hackers ont utilisé la technique de l’attaque par chaîne d’approvisionnement (ou supply chain attack), en piratant en premier lieu le compte VPN SSL d’un éditeur tiers, avant de s’introduire dans le SI du CHU. 
Bien que l’hôpital ait réussi à contenir l'attaque en coupant toutes les connexions Internet de son parc informatique, environ 300 Go de données incluant des informations sensibles sur les patients et le personnel ont été publiés sur le Darkweb un mois plus tard. La technique de l’attaque par chaîne d’approvisionnement avait également été utilisée quelques mois plus tôt contre le CHRU de Brest, affectant ses serveurs. 

Côté Outre-mer, l’hôpital de La Réunion a également été victime d’une cyberattaque en 2023. Sa détection précoce a permis au centre de santé d’assurer la continuité des soins malgré quelques perturbations. L’audit qui s’en est suivi a quant à lui mis en lumière des pratiques risquées de Shadow IT au sein des équipes, permettant à l’hôpital de prendre des mesures contre ce phénomène.  

Parmi les autres établissements de santé visés par des cyberattaques, on compte :

  • Le Centre Hospitalier de Saint-Renan dans le Finistère, victime d’un ransomware.

  • Les hôpitaux de Vittel et Neufchâteau dans les Vosges, qui après avoir constaté une intrusion dans leur SI, ont été contraints de suspendre pendant plusieurs jours les consultations et interventions chirurgicales programmées.

NoName057(16) attaque les administrations publiques françaises


NoName057(16) émerge comme l'un des collectifs de hackers pro russes les plus actifs, ciblant les institutions des pays soutenant l'Ukraine. Leur modus operandi repose principalement sur des attaques par déni de service (DDoS), méthode consistant à submerger un site web de connexions simultanées, provoquant une saturation du serveur pour rendre le site inaccessible. 

En France, les institutions du service public ont été particulièrement ciblées par NoName en 2023, à commencer par l’Assemblée nationale en mars dernier. Les cybercriminels ont orchestré une attaque DDoS contre le site de cette célèbre institution, le rendant inaccessible pendant plusieurs heures. Le groupe a revendiqué cette action sur sa chaîne Telegram, en réponse au soutien de la France à l'Ukraine.

Quelques mois plus tard, c’est le Sénat français qui a subi le même type d’attaque, revendiqué pour des raisons similaires. Plus récemment, le collectif a réussi à mettre temporairement hors service le site des impôts français.

Noname057(16) a également lancé en 2023 une série d'attaques contre d'autres sites français tels que securite-routiere.gouv.fr, investinfrance.fr et aft.gouv.fr. 

Bien que ce genre de cyberattaques puisse être handicapant pour les utilisateurs, leur impact est généralement limité à la mise hors service d'un site pendant quelques heures, voire moins. Le message est donc avant tout symbolique et politique. 

Une attaque de la chaîne d'approvisionnement pour France Travail


La fuite de données concernant France Travail (ex Pôle Emploi) a fait beaucoup de bruit dans la presse française cet été. Encore une fois, c’est via le biais d’une supply chain attack que cette institution majeure du service public français a pu être compromise. 

Le groupe de cybercriminels Clop a en effet exploité une vulnérabilité dans l'application MOVEit pour attaquer la société Majorel, chargée de numériser les documents transmis par les demandeurs d’emploi. Les données personnelles de 10 millions d'utilisateurs de France Travail ont donc été dérobées, englobant des détails sensibles comme les noms, prénoms, statuts de demandeurs d'emploi, et numéros de sécurité sociale. Ces informations se sont d’ailleurs vite retrouvées disponibles à la vente pour 900 dollars sur le Darknet.  

Encore une fois, cette situation souligne l'importance d'assurer que tous les partenaires et prestataires d'une organisation respectent des normes élevées en matière de cybersécurité

D’autant plus que les utilisateurs qui ont vu leurs coordonnées fuiter doivent être particulièrement vigilants : ils ont maintenant plus de chances que quiconque d’être la cible de courriels d'hameçonnage convaincants, et ce, pendant des années. La complexité pour modifier un numéro de sécurité sociale rend cette situation particulièrement délicate.

Une attaque DDoS contre l’établissement public Météo-France


Météo-France, l'agence nationale de météorologie, a elle aussi été la cible d'une cyberattaque par déni de service (DDoS) en 2023. Cette attaque a non seulement perturbé les sites web et l'application de Météo-France, mais a également affecté les extranets des clients institutionnels et commerciaux, ainsi que les moyens de télétravail pour les employés.

La particularité de cette attaque réside dans sa préparation minutieuse. En utilisant une méthode distribuée, les cybercriminels ont rendu très difficile la distinction entre le trafic légitime et malveillant. Les heures de pointe ont été sciemment ciblées, accentuant l'impact et rendant la réponse plus complexe pour Météo-France. 

Bien que le coût total demeure difficile à quantifier, cette cyberattaque a également eu des répercussions économiques réelles, touchant des secteurs tels que l'agriculture, l'aviation et la logistique.

En réponse à cette crise, Météo-France a adopté une approche proactive, identifiant rapidement l'attaque et déployant des mesures d'atténuation. L'agence a de plus communiqué de manière transparente sur la nature de l'attaque et les actions entreprises pour y remédier. 


Vous l’aurez compris, l'année 2023 a marqué une intensification des cyberattaques à l'encontre du secteur public français. Les administrations territoriales, les hôpitaux, les institutions gouvernementales, et même des entités majeures comme France Travail ont été la cible d’attaques variées, mettant en lumière la vulnérabilité croissante du service public face à la menace cyber. Les motivations des cybercriminels, qu'elles soient financières, politiques ou opportunistes, ont mis en évidence la nécessité urgente pour les institutions publiques de renforcer leurs infrastructures et de moderniser leurs pratiques en matière de cybersécurité. Face à ces défis persistants, il devient impératif d'adopter des stratégies proactives, et des normes de sécurité élevées. Ces enjeux sont d’autant plus importants à l’approche de l’entrée en vigueur de NIS2 ! 


Sources : 

¹ https://www.banquedesterritoires.fr/lanssi-decrypte-les-cyberattaques-subies-par-les-collectivites-territoriales

² https://www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-001/

³ https://www.titanhq.fr/blog/nouvelles-attaques-dans-les-hopitaux-francais-services-restreints-et-des-milliers-de-donnees-exfiltrees/

 

 

Découvrez LockSelf

La solution cyber adaptée à vos équipes métiers

Certifiée par l'ANSSI.

Accédez à l'ensemble des fonctionnalités de la suite LockSelf pendant 14 jours, gratuitement.

Découvrir
LockSelf

Retour d'expérience

Circonscrire une cyberattaque en moins de 24h

Malik Himiche, RSSI du SIIM 94 vous raconte
Télécharger
Couverture du SIIM 94

LA CYBER MISSIVE

Tout savoir sur l'actualité cyber en France

1 fois par mois dans votre boîte mail 📩

À lire aussi

Les derniers articles

Cybersécurité

Les cyberattaques contre le secteur public français en 2023

Découvrez notre tour d’horizon des cyberattaques à l’encontre du secteur public les plus marquantes de 2023.

Réglementations et normes

Entreprise : 7 mesures pour se conformer à la directive NIS2

Découvrez nos conseils pour commencer à se conformer à la directive NIS2 et faciliter son application en entreprise.

Actualité LockSelf

Le connecteur SSH : nouvelle fonctionnalité LockPass à venir

Romain Challier, Lead DevSecOps chez LockSelf nous dévoile cette fonctionnalité à venir permettant de stocker et lancer des connexions SSH depuis LockPass.

LockSelf SAS
6 Rue des Bateliers
92110 Clichy

contact@lockself.com
01 87 66 15 65
Solutions
LockPass
LockTransfer
LockFiles
Suite LockSelf
Extensions
Chrome
Brave
Edge
Firefox ESR
Autres
Hébergement
Sécurité
Livres Blancs
Observatoire LockSelf 2024
Support
Contact
Copyright © LockSelf 2022
CGU
CGV
Mentions légales