Depuis plusieurs années, les administrations publiques font face à une montée en puissance des cyberattaques. Institutions gouvernementales paralysées, hôpitaux au fonctionnement dégradé, mairies victimes de vols de données… En 2023 particulièrement, le service public français s’est vu attaqué de toute part. Du Sénat à France Travail, en passant par les administrations territoriales, découvrez notre tour d’horizon des cyberattaques à l’encontre du secteur public les plus marquantes de 2023.
Chaque année, les cyberattaques à l’encontre des administrations publiques prennent un peu plus de place dans la presse. Les chiffres parlent d’ailleurs d'eux-mêmes : entre janvier 2022 et juin 2023, 187 incidents ont été signalés par des collectivités territoriales à l'ANSSI, soit une moyenne de 10 par mois.¹
Parmi les administrations territoriales françaises, de nombreuses mairies ont été victimes de cyberattaques en 2023.
La commune de Betton, située au nord de Rennes, a notamment été prise pour cible lors d'une cyberattaque de type ransomware en août dernier.
Le rançongiciel, revendiqué par le groupe de cybercriminels Medusa, a bloqué le système d'information de la commune en chiffrant ses données. Les hackers ont exigé une rançon de 100 000 dollars en échange d'une clef de déchiffrement permettant de rétablir l'accès. La municipalité a réagi rapidement en déposant une plainte à la gendarmerie et en sollicitant l'ANSSI pour renforcer sa réponse face à cette attaque.
Malgré le non-paiement de la rançon, les services de la mairie ont donc continué de fonctionner (en mode dégradé), mettant en avant l'efficacité des sauvegardes informatiques de la ville pour préserver les données sensibles et minimiser les perturbations.
Cependant les cybercriminels ont fini par diffuser publiquement la base de données dérobée, contenant de nombreuses informations personnelles sur les habitants de Betton, telles que des pièces d’identité, des adresses et des échanges administratifs.
Quelques jours plus tôt, le collectif Medusa avait usé du même mode opératoire contre la mairie de Sartrouville. Résultat : des bulletins de paie, des échanges professionnels, et des pièces d’identité d’élus municipaux se sont rapidement retrouvés sur le Darweb.
Outre le vol de données, les cyberattaques visant le secteur public ont également des conséquences financières. La mairie de Lille, attaquée par le groupe de cybercriminels Royal en mars 2023, estime en effet le coût de la compromission à 1 million d’euros. Outre la dégradation de ses services, cette somme engloberait entre autres les démarches administratives papiers qui ont suivi la cyberattaque.
Parmi les autres mairies touchées par les cyberattaques en 2023 on compte :
D’après le Panorama de la cybermenace 2022 réalisé par l’ANSSI, le domaine de la santé serait le troisième secteur le plus touché par les cyberattaques en France ². À l’échelle mondiale, le Healthcare Data Institute le place quant à lui en troisième position au premier trimestre 2023.³
En juin 2023, le CHU de Rennes a subi une cyberattaque perpétrée par le groupe de pirates informatiques BianLian, spécialisé dans les rançongiciels.
Les hackers ont utilisé la technique de l’attaque par chaîne d’approvisionnement (ou supply chain attack), en piratant en premier lieu le compte VPN SSL d’un éditeur tiers, avant de s’introduire dans le SI du CHU.
Bien que l’hôpital ait réussi à contenir l'attaque en coupant toutes les connexions Internet de son parc informatique, environ 300 Go de données incluant des informations sensibles sur les patients et le personnel ont été publiés sur le Darkweb un mois plus tard. La technique de l’attaque par chaîne d’approvisionnement avait également été utilisée quelques mois plus tôt contre le CHRU de Brest, affectant ses serveurs.
Côté Outre-mer, l’hôpital de La Réunion a également été victime d’une cyberattaque en 2023. Sa détection précoce a permis au centre de santé d’assurer la continuité des soins malgré quelques perturbations. L’audit qui s’en est suivi a quant à lui mis en lumière des pratiques risquées de Shadow IT au sein des équipes, permettant à l’hôpital de prendre des mesures contre ce phénomène.
Parmi les autres établissements de santé visés par des cyberattaques, on compte :
NoName057(16) émerge comme l'un des collectifs de hackers pro russes les plus actifs, ciblant les institutions des pays soutenant l'Ukraine. Leur modus operandi repose principalement sur des attaques par déni de service (DDoS), méthode consistant à submerger un site web de connexions simultanées, provoquant une saturation du serveur pour rendre le site inaccessible.
En France, les institutions du service public ont été particulièrement ciblées par NoName en 2023, à commencer par l’Assemblée nationale en mars dernier. Les cybercriminels ont orchestré une attaque DDoS contre le site de cette célèbre institution, le rendant inaccessible pendant plusieurs heures. Le groupe a revendiqué cette action sur sa chaîne Telegram, en réponse au soutien de la France à l'Ukraine.
Quelques mois plus tard, c’est le Sénat français qui a subi le même type d’attaque, revendiqué pour des raisons similaires. Plus récemment, le collectif a réussi à mettre temporairement hors service le site des impôts français.
Noname057(16) a également lancé en 2023 une série d'attaques contre d'autres sites français tels que securite-routiere.gouv.fr, investinfrance.fr et aft.gouv.fr.
Bien que ce genre de cyberattaques puisse être handicapant pour les utilisateurs, leur impact est généralement limité à la mise hors service d'un site pendant quelques heures, voire moins. Le message est donc avant tout symbolique et politique.
La fuite de données concernant France Travail (ex Pôle Emploi) a fait beaucoup de bruit dans la presse française cet été. Encore une fois, c’est via le biais d’une supply chain attack que cette institution majeure du service public français a pu être compromise.
Le groupe de cybercriminels Clop a en effet exploité une vulnérabilité dans l'application MOVEit pour attaquer la société Majorel, chargée de numériser les documents transmis par les demandeurs d’emploi. Les données personnelles de 10 millions d'utilisateurs de France Travail ont donc été dérobées, englobant des détails sensibles comme les noms, prénoms, statuts de demandeurs d'emploi, et numéros de sécurité sociale. Ces informations se sont d’ailleurs vite retrouvées disponibles à la vente pour 900 dollars sur le Darknet.
Encore une fois, cette situation souligne l'importance d'assurer que tous les partenaires et prestataires d'une organisation respectent des normes élevées en matière de cybersécurité.
D’autant plus que les utilisateurs qui ont vu leurs coordonnées fuiter doivent être particulièrement vigilants : ils ont maintenant plus de chances que quiconque d’être la cible de courriels d'hameçonnage convaincants, et ce, pendant des années. La complexité pour modifier un numéro de sécurité sociale rend cette situation particulièrement délicate.
Météo-France, l'agence nationale de météorologie, a elle aussi été la cible d'une cyberattaque par déni de service (DDoS) en 2023. Cette attaque a non seulement perturbé les sites web et l'application de Météo-France, mais a également affecté les extranets des clients institutionnels et commerciaux, ainsi que les moyens de télétravail pour les employés.
La particularité de cette attaque réside dans sa préparation minutieuse. En utilisant une méthode distribuée, les cybercriminels ont rendu très difficile la distinction entre le trafic légitime et malveillant. Les heures de pointe ont été sciemment ciblées, accentuant l'impact et rendant la réponse plus complexe pour Météo-France.
Bien que le coût total demeure difficile à quantifier, cette cyberattaque a également eu des répercussions économiques réelles, touchant des secteurs tels que l'agriculture, l'aviation et la logistique.
En réponse à cette crise, Météo-France a adopté une approche proactive, identifiant rapidement l'attaque et déployant des mesures d'atténuation. L'agence a de plus communiqué de manière transparente sur la nature de l'attaque et les actions entreprises pour y remédier.
Vous l’aurez compris, l'année 2023 a marqué une intensification des cyberattaques à l'encontre du secteur public français. Les administrations territoriales, les hôpitaux, les institutions gouvernementales, et même des entités majeures comme France Travail ont été la cible d’attaques variées, mettant en lumière la vulnérabilité croissante du service public face à la menace cyber. Les motivations des cybercriminels, qu'elles soient financières, politiques ou opportunistes, ont mis en évidence la nécessité urgente pour les institutions publiques de renforcer leurs infrastructures et de moderniser leurs pratiques en matière de cybersécurité. Face à ces défis persistants, il devient impératif d'adopter des stratégies proactives, et des normes de sécurité élevées. Ces enjeux sont d’autant plus importants à l’approche de l’entrée en vigueur de NIS2 !
Sources :
¹ https://www.banquedesterritoires.fr/lanssi-decrypte-les-cyberattaques-subies-par-les-collectivites-territoriales
² https://www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-001/
³ https://www.titanhq.fr/blog/nouvelles-attaques-dans-les-hopitaux-francais-services-restreints-et-des-milliers-de-donnees-exfiltrees/