Une ville n'est jamais trop petite pour intéresser les cyberbraqueurs

Aujourd'hui, partout dans le monde de petites villes subissent les assauts de cyberdélinquants qui s'inspirent des braqueurs de banques de la période américaine de la Grande Dépression.

Aujourd’hui, partout dans le monde de petites villes subissent les assauts de cyberdélinquants qui s’inspirent des braqueurs de banques de la Grande Dépression. Même si près d’un siècle s’est écoulé depuis l’époque où les gangsters comme John Dillinger terrorisaient les établissements financiers tout en fascinant l’imaginaire collectif, leurs tactiques continuent à être utilisées par les hors-la-loi d’aujourd’hui.

Bien sûr, les lieux ont changé. Il n’est plus question de casse, au sens physique, où le chauffeur aide les voleurs à prendre la fuite avec des sacs remplis de billets. De nos jours, les bandits peuvent commettre leurs larcins depuis leur canapé ou n’importe quel site distant — de façon complètement virtuelle et sans aucune interaction humaine dans certains cas.

Partout dans le monde, de petites villes peu protégées sont toujours dans le viseur d’individus mal intentionnés. Selon un rapport de la société de cybersécurité KnowBe4, les attaques contre les petites communes ont progressé de 58,5 % entre 2018 et 2019, avec un coût moyen de 125 697 dollars par incident.

Quelle que soit la ville, elle n’est jamais trop petite pour intéresser les cyberbraqueurs. La place de la mairie constitue à bien des égards une cible plus attrayante que les différentes places financières financières mondiales, qu’elles soient à Paris, New York, Londres ou autres. Voici pourquoi.

Le point de vue du braqueur de banque

Décortiquons l’organisation logistique d’une cyberattaque et abordons-la du point de vue de l'assaillant. Comment réussir le coup sans se faire prendre ? Il faut se rappeler comment on opérait à l’époque de Dillinger. Le cybercriminel a constitué son équipe, a décidé de son mode opératoire et il dispose des moyens nécessaires. L’essentiel pour lui est de bien définir sa cible. Le soin qu’il apportera à ce choix est déterminant pour la suite. C’est ce qui peut faire la différence entre un braquage où tout se passe comme prévu et un casse qui tourne mal.

Il étudiera ensuite ses différentes options d’action. Il y a un gros coup à faire dans une métropole, avec un énorme pactole potentiel à la clé, mais le lieu est mieux protégé et les risques plus importants. L’autre plan vise une petite ville moins sécurisée, dotée de moyens policiers et de ressources limitées pour prendre en chasse le voleur. Il est également possible que l’argent soit plus difficile à tracer. Naturellement, les gains sont moins élevés, mais les chances de réussir sont nettement supérieures.

Laquelle de ces options choisira-t-il ?

Plus les choses changent, plus elles restent les mêmes

Près d'un siècle plus tard, cette logique reste valable. Les piratages de masse, comme celui dont le groupe hôtelier Marriott a été victime, sont extrêmement difficiles à exécuter avec succès. Dès l'attaque, la riposte s’est immédiatement organisée avec des mesures d'atténuation d’envergure visant à faire chuter la valeur d’une partie des données dérobées.

Si l’on étudie cette opération sur un plan logistique et du point de vue de l’assaillant. Quel est son retour sur investissement ? Clairement, le modèle économique est mauvais.

En revanche les petites communes, et les entreprises qu’elles abritent, constituent – à l’aune des critères suivants – une cible très attrayante :

• Ressources limitées : Difficile de qualifier de florissantes les finances de la plupart des collectivités territoriales. Il est en outre rare que ces fonds bénéficient de mesures de cybersécurité, car ce n'est tout simplement pas la priorité. Il faut néanmoins bien avouer que le manque d’experts en sécurité ne permet pas vraiment de faire de la cybersécurité une priorité…

• Manque d’expertise : Le Gartner estime à 1,5 million le nombre de postes en sécurité informatique à pourvoir aux États-Unis — postes qui ne seront pas pourvus d’ici la fin 2020. Le problème est encore plus aigu au niveau de l’État, du fait du manque de ressources (pour les rémunérations) et des contraintes politiques, qui ne font que compliquer les recrutements d'experts en sécurité. Bien souvent, une poignée d'informaticiens se retrouvent à superviser l’équivalent d’un département supplémentaire.

• Moyens de remédiation inférieurs : La remédiation joue une part importante dans la cybersécurité, mais pas seulement. Si la Ville de Paris est attaquée, elle bénéficie de toute l’attention des forces de l’ordre et de toutes les ressources associées. Mais qu’en est-il des collectivités ou villes plus modestes ? Elles se voient attribuer un agent ou un groupe de travail, sans être considérées comme une priorité. Qui plus est, les ressources sont comptées.

• Bogues au niveau des passerelles réseau : Pour terminer, et cela mérite d'être souligné, les collectivités territoriales n’existent pas en vase clos ; elles ne sont pas souveraines. Elles font partie d'une communauté d’agglomération, d’une métropole, d'un département, d'une région — suivant la dénomination adaptée à la ville en question. Ces entités sont elles-mêmes rattachées à une entité supérieure, à un pays. Tous ces réseaux sont interconnectés et bien souvent, le fait d’accéder à l’un donne accès aux autres.

Encore une fois, une ville n’est jamais trop petite pour intéresser les malfaiteurs. Elle doit redoubler de vigilance et prioriser la cybersécurité au même niveau que les forces de police ou n’importe quel type de sécurité physique. Les témoignages ne manquent pas de petites villes, administrations et entreprises victimes de cyberattaques qui auraient pu être évitées si l’on avait considéré la mise en place de solides cyberdéfenses à leur juste importance.

Cette situation n'est pas seulement endémique des petites municipalités. L'ancien président Barack Obama avait exigé en 2015 que l'ensemble des sites gouvernementaux migrent vers le protocole HTTPS qui sécurise les connexions web. Or, cinq ans après, on compte toujours des retardataires.

Une telle négligence au niveau des petites structures publiques est potentiellement plus pernicieuse, car la pénurie de ressources complique davantage la remise à plat de la sécurité et limite les initiatives de remédiation. Tout cela coûte encore plus cher lorsqu'il faut intervenir au niveau du point d’échec.

Aux États-Unis, le gouvernement fédéral publie régulièrement ses recommandations sur la cybersécurité par l'intermédiaire d'agences comme l’Agence de cybersécurité et de sécurité des infrastructures (CISA, Cybersecurity and Infrastructure Security Agency) et d'organismes de normalisation comme le NIST (National Institute of Standards and Technology). En France, ces recommandations émanent de l’Agence nationale de la sécurité des systèmes d'information (ANSSI) et de l’Organisation internationale de normalisation (ISO). C’est un bon début, surtout si personne en interne n’est capable de comprendre, d’interpréter et d’appliquer ces orientations. Première étape : trouver cette expertise. Mais pas question de se défausser sur la Direction des services informatiques ou un administrateur système pour la ville. La cybersécurité doit être traitée comme une priorité à part, avec une équipe ou un département dédié.

Il faut en faire une priorité maintenant, lui accorder toute notre attention maintenant. Il est également nécessaire de prévoir les budgets correspondants maintenant. En ignorant la menace liée à la cybercriminalité aujourd'hui (pas uniquement sur le plan international ou national, mais aussi, et de plus en plus régulièrement, dans les petites villes à travers le monde), on ne fait qu’inviter la catastrophe pour demain.