La cybersécurité : la responsabilité de chaque collectivité locale

Alors que l'affaire Pegasus a révélé que l'État français a été ciblé par des acteurs s'appuyant sur le logiciel de l'entreprise israélienne NSO, Guillaume Poupard, directeur de l'Anssi, a sonné l'alarme fin juillet mentionnant "une vaste campagne de compromission touchant de nombreuses entités françaises". Il s'agirait d'une campagne de type menace persistante avancée menée par un groupe de pirates affiliés a l'Etat chinois.

Les cyberattaques visant les organisations gouvernementales ne représentent pas une menace nouvelle. Trois collectivités sur dix ont subi une attaque par rançongiciel en 2019, selon une étude du Clusif. C’est dans ce contexte, pour accompagner les administrations locales, que Cybermalveillance.gouv.fr a mis en place un programme de sensibilisation à destination des élus.

Traditionnellement, assurer le financement pour des projets dédiés à la cybersécurité représente un défi pour les administrations publiques, notamment parce que les menaces ciblant les réseaux informatiques sont difficiles à appréhender et à mesurer. Mais les récentes révélations concernant non seulement le projet Pegasus, mais aussi les attaques SolarWinds, Microsoft Exchange et Colonial Pipeline, ont démontré s’il en était besoin l'urgence d'un investissement de l'État pour protéger les collectivités locales des attaques venues du réseau. 

La sécurité du réseau public

L’adoption rapide des applications et services basés sur le cloud, la prolifération des équipements IoT et autres appareils connectés, ainsi que le recours massif au télétravail dans le cadre de la pandémie ont accru l'importance de la mise en oeuvre de stratégies de sécurité abouties au sein des architectures réseau hautement centralisés des administrations publiques. Tout d’un coup, des centaines, voire des milliers d'appareils se connectent au réseau - le Shadow IoT, échappant ainsi à la protection des suites d'outils de sécurité centralisés - et révèlent de nouvelles vulnérabilités que les acteurs malveillants pourraient exploiter.

De plus, les données par lesquelles ces équipements transitent, voire même qu’ils traitent, sont de plus en plus critiques et précieuses. Les caméras qui collectent les données de déplacement, les enregistrements numériques des données des patients, et les systèmes d'éducation en ligne qui agrègent les données des étudiants. Les administrations publiques, que ce soit au niveau local ou national, collectent, transmettent, stockent et analysent de grandes quantités d'informations personnelles sur leurs administrés.

Les cybercriminels le savent. En effet, une étude récente a révélé que 84 % des administrations publiques aux États-Unis ont subi une ou plusieurs attaques réseaux venues du cloud au cours de l'année précédente. Plus le temps passe, plus les organisations gouvernementales prennent conscience qu'elles doivent faire plus que sécuriser les équipements : il faut être vigilant partout où se trouvent les données. Tandis que les données deviennent omniprésentes.

La série de failles et d'attaques récentes pousse les entités les plus avant-gardistes à repenser leurs stratégies. Ces collectivités réalisent des investissements dans les réseaux et le cloud qui améliorent et sécurisent les transferts de données et d’argent. Ainsi, elles adoptent une approche de type "défense approfondie", assurant qu’à mesure que le réseau s'étend pour tirer parti de ces nouvelles opportunités, sa sécurisation s’étend d’autant. 

La défense approfondie

Les attaquants trouvent constamment des moyens pour échapper aux techniques de défense mises en place par les administrations. La sécurité du réseau doit donc reposer sur une "défense approfondie" : une stratégie s’appuyant sur différentes solutions de sécurité pour fournir une sécurité solide et complète contre les intrus. 

Lorsqu'il s'agit d'élaborer une telle stratégie, la visibilité est le premier et le plus important élément à considérer : il faut savoir ce qui se trouve sur le réseau. C’est une évidence : si vous ne pouvez pas voir la menace, il n’y a aucune chance pour que vous puissiez vous en prémunir. Faute d’une connaissance adéquate du matériel, des logiciels et du trafic qui circule sur le réseau, les professionnels de cybersécurité sont contraints de réagir aux menaces au fur et à mesure qu'elles se présentent à partir de vecteurs inconnus, au lieu de gérer et contrôler de manière préventive l’ensemble des menaces. En effet, sans cette visibilité, il est impossible de mesurer la surface d'attaque. Chaque dispositif “invisible” est une menace pour la sécurité - qu'elle soit intentionnelle (un acteur malveillant) ou non (un dispositif non protégé) - et la défense approfondie devient impossible à mener. 

1. La gestion des adresses IP

La gestion des adresses IP (IPAM) - qui, avec le DNS et le DHCP, est l'un des services réseau de base qui composent l’approche DDI - permet d’obtenir une vision complète sur ce qui est connecté au réseau. Techniquement, l'IPAM est une base de données des adresses IP allouées sur un réseau qui, au fil du temps, permet de voir qui avait quelle adresse IP et quand - un élément essentiel de la défense approfondie. Ces informations permettent de suivre les alertes et de déterminer rapidement quel appareil génère du trafic malveillant, ce qui aide à résoudre rapidement la menace. 

2. Compréhension de la surface d’attaque

En plus de surveiller les appareils connectés au réseau, il est également important de bien connaître les appareils qui composent eux-mêmes le réseau - les switches, routeurs, points d'accès et autres matériels qui permettent aux autres équipements de se connecter et se partager des informations. Ce vecteur de menace est souvent oublié, voire négligé, pour la simple et “bonne” raison que ces dispositifs sont souvent placés dans le réseau, configurés et oubliés. 

L'équipe chargée de la gestion réseau au sein d’une administration locale doit être capable d'installer, de configurer, de mettre à jour et de sécuriser ces appareils, mais l'équipe en charge de la sécurité doit également être au courant de ce qui existe et de la manière dont cet existant est protégé. Et lorsque de nouvelles vulnérabilités apparaissent, les équipes doivent s'assurer que les appareils sont mis à jour de manière coordonnée afin que le réseau reste opérationnel et disponible pour les utilisateurs finaux. En outre, il faut ainsi disposer d’un moyen pour comprendre si une vulnérabilité affecte l'équipement du réseau (PSIRT, CVE, etc.). Un outil de gestion de la configuration et du contrôle du réseau (NCCM) peut donner aux équipes cette visibilité, en leur permettant de maintenir et configurer les équipements qui composent le réseau, et d'aider les experts à contrôler, administrer et sécuriser les périphériques du réseau. 

Aidées par les efforts de sensibilisation au niveau national, de nombreuses administrations publiques locales comprennent déjà le rôle central que joue désormais la cybersécurité, et veillent donc à l'intégrer dans toutes leurs activités. Dans le cadre du plan France Relance, l'Anssi pilote le volet cybersécurité destiné à renforcer la sécurité des administrations, des collectivités, des établissements de santé et des organismes publics. A titre d'exemple, les collectivités territoriales souhaitant investir dans la sécurisation des systèmes d'information bénéficient ainsi d'un cofinancement par l'État, alors que les régions peuvent être accompagnées dans leur constitution d'une équipe de réponse aux incidents cyber. 

Il ne fait pas de doute que les collectivités locales se doivent de maintenir, améliorer et faire évoluer leurs systèmes pour être en capacité de protéger leurs citoyens contre les techniques innovantes constamment utilisées par des acteurs malveillants. Ce nouveau financement est l'occasion pour ces organisations d'améliorer leur cybersécurité, ainsi que d’adopter une approche centrée sur les données, offrant une défense approfondie dans chaque organisation.  L’impact financier d’approches insuffisantes et les risques encourus sont immenses, et la vie privée des citoyens est bien trop précieuse pour que ces considérations soient prises à la légère.