Jérôme Notin (Cybermalveillance) "Au moins 4% des communes françaises ont été piratées en 2020"

Le directeur général de Cybermalveillance, qui regroupe secteur public et privé pour assister les victimes de cyberattaques, fait le bilan de la menace cyber chez les collectivités, de plus en plus ciblées par les pirates.

JDN. Cybermalveillance est en train de finaliser son rapport annuel sur les menaces cyber en France. Quel bilan tirez-vous de l'année 2020 ? 

Jérôme Notin est directeur général de Cybermalveillance. © Cybermalveillance

Jérôme Notin. Nous avons au total accompagné 74 510 parcours de victimes chez les particuliers, 8 521 entreprises et 1 403 collectivités, contre 1 223 l'année dernière. Si vous faites le ratio entre le nombre de collectivités existantes et celles qui viennent nous demander de l'aide après un piratage, il est beaucoup plus élevé que chez les particuliers ou les entreprises. Cela veut dire qu'au moins 4% des communes françaises ont été piratées en 2020. Nous savons que les demandes d'assistance que nous recevons concernent surtout les communes de petite taille, car les départements, régions et grandes métropoles ont accès à des structures pour les aider.

Les type d'attaques a-t-il évolué par rapport à l'année dernière ? 

"Le ransomware est devenu la première méthode de cyberattaque contre les collectivités et entreprises"

Nous observons que les collectivités sont de plus en plus prises pour cible à travers les ransomwares : le nombre d'attaques les visant avec cette méthode de piratage (qui consiste à chiffrer les données de la victime puis demander une rançon pour les déchiffrer, ndlr) a augmenté de 50% entre 2019 et 2020. Dans le même temps, ce nombre a augmenté de 25% chez les entreprises et baissé de 85% chez les particuliers. Les pirates se sont rendu compte que le taux de réussite chez le particulier, à qui on va demander 200 euros pour déchiffrer ses photos, était assez faible. Aller chiffrer un réseau d'entreprise ou de collectivité pour demander des dizaines ou centaines de milliers, voire des millions d'euros, c'est beaucoup plus rentable. A la sixième place en 2019, le ransomware est devenu en 2020 la première méthode de cyberattaque contre les collectivités et entreprises, parmi les demandes d'assistance que nous recevons. 

Les collectivités ont dû mettre en place dans l'urgence le télétravail, une organisation quasi inexistante dans leur culture.  Leur cybersécurité s'est dégradée l'année dernière ? 

Le télétravail a permis de nouvelles méthodes d'entrée pour les pirates. Car des accès à distance au réseau des collectivités ont été ouverts pour les employés en télétravail sans intégrer les contraintes de sécurité. Je pense en effet que la cybersécurité des collectivités s'est dégradée, alors que nous sommes censés aller vers le haut et nous améliorer tous les ans dans ce domaine. Pour apporter un peu de nuance, disons qu'elle s'est particulièrement dégradée durant les premiers mois et le confinement. On peut espérer qu'il y a eu par la suite une prise de conscience avec des mesures correctives pour éviter des drames. 

Ces derniers mois ont aussi été marqués par des piratages d'ampleur à Marseille et Angers, dont le site Internet est hors ligne depuis le 15 janvier. Si des collectivités de cette taille se font hacker, c'est que personne n'est à l'abri... 

"Pour un Angers ou Marseille, ce sont des dizaines d'autres collectivités piratées dont les médias ne parlent pas"

Oui, sauf que pour un Angers ou Marseille, ce sont des dizaines d'autres collectivités piratées dont les médias ne parlent pas. Un peu comme dans le monde privé, les grosses structures ont compris que le risque 0 n'existe pas. Mais elles peuvent au moins compter sur de grosses équipes informatiques pour les épauler. Lorsqu'une petite collectivité qui n'a même pas d'informaticien est touchée, c'est beaucoup plus compliqué. Sauf qu'elle peut héberger des données tout aussi sensibles qu'une grande commune. 

Six mois après le piratage de Marseille, les hackers ont diffusé 40 Go de données de la ville, dont une base de 23 000 adresses e-mail, les noms et matricules des agents, et toutes sortes de données privées. Quelles peuvent être les conséquences de dispersion dans la nature de ces informations ? 

Le plus embêtant, ce sont les données personnelles, car elles peuvent permettre d'autres attaques. Les noms et prénoms, adresses, e-mail, date de naissance, numéro de téléphone, sont des données de grand intérêt pour les cybercriminels. Par exemple une des arnaques du moment consiste à envoyer sur WhatsApp des messages du type "réponds à ce message pour gagner 4 places au Futuroscope" en demandant aux cibles leurs coordonnées. Quelques mois plus tard, elles reçoivent un faux e-mail d'un e-commerçant au sujet de la livraison d'un smartphone, avec un lien pour se faire rembourser et annuler le faux achat... en entrant son numéro de carte de crédit. 

Les pirates tentent même de se faire passer pour Cybermalveillance et ses prestataires, comme l'a montré un courrier trouvé par l'expert en cybersécurité Damien Bancal (Zataz) parmi les données hackées de Marseille.  

En effet, des gens ont fait la bêtise d'utiliser notre logo pour faire de l'arnaque au RGPD. Il y avait déjà eu des vagues d'e-mails se faisant passer pour nous, mais c'était la première fois au sujet du RGPD. Ce n'est vraiment pas malin de leur part de s'attaquer à nous. Nous avons d'ailleurs déposé plainte. 

Jérôme Notin est directeur général de Cybermalveillance. Après une carrière dans le privé au sein de sociétés de cybersécurité, il rejoint l'Agence nationale de la sécurité des systèmes d'information (ANSSI) en 2016 pour préparer le la création du dispositif Cybermalveillance, dont il prend la direction à son lancement en 2017.