Attaques par rançongiciel : les collectivités de plus en plus ciblées

Entre 2016 et 2020, les services de police et de gendarmerie nationales ont enregistré entre 1580 et 1870 procédures en lien avec des attaques par rançongiciel (logiciels malveillants de demande de rançon par blocage de l'accès aux données) visant des entreprises et des institutions.

Autre chiffre inquiétant sur cette menace grandissante : entre 2019 et 2020, en France, le nombre de cyberattaques a augmenté de 255%, selon le rapport franco-allemand sur la menace cyber, copublié le 25 novembre par l’ANSSI (Agence nationale de la sécurité des systèmes d’information).

Les collectivités très touchées en 2020

Certains secteurs d'activité sont plus visés que d'autres, souligne le SSMSI. Le secteur industriel est particulièrement touché avec 15 % des victimes enregistrées alors qu’il ne représente que 7 % du tissu économique en France. De même, le secteur des administrations publiques, de l'enseignement, de la santé humaine et de l'action sociale est surreprésenté : 20 % des victimes pour 13 % des établissements.

Parmi les administrations publiques ayant déposé plainte suite à une attaque par rançongiciel, 89 % sont des collectivités locales, soit 9 % de l’ensemble des victimes. Elles ont été particulièrement touchées en 2020 avec 2,7 fois plus de procédures enregistrées qu’en 2019. Dans l’ensemble, le nombre de ces procédures, liées aux rançongiciels visant des administrations publiques, a triplé entre 2019 et 2020. A noter que le phénomène se poursuit aujourd’hui avant toujours autant de virulence envers les collectivités, et cela quelle que soit leur taille. Par exemple, la ville d’Annecy a de nouveau été victime d’une attaque par rançongiciel, le 25 novembre dernier, moins d’un an après la précédente cyberattaque.

Faible niveau de protection des petites communes

Les chiffres de 2021 de l’ANSSI confirment que le secteur administratif, notamment les collectivités, est particulièrement ciblé. Ces dernières ont souvent un faible niveau de protection informatique, alors qu’il est important que leur activité ne soit pas suspendue. Les cyber-attaquants peuvent également utiliser les données sensibles présentes dans leurs systèmes d’information pour exercer un chantage puisque la publication de telles données porterait atteinte aux administrés.

Selon les données de la police et de la gendarmerie, les attaques par rançongiciel visant des entreprises et des institutions s’observent sur tout le territoire. 41 % ont eu lieu dans une commune appartenant à une unité urbaine de plus de 200 000 habitants. Cependant, les zones rurales ne sont pas épargnées : une entreprise ou institution sur six qui a subi une attaque par rançongiciel est située dans en milieu rural ou dans une petite commune.

Des rançons exigées de plus en plus élevées

Par ailleurs, la professionnalisation et la multiplication des acteurs rendent le travail d’investigation très difficile. Le cyberespace leur permet d’agir depuis des pays différents (Europol, 2021), dont certains avec lesquels la coopération judiciaire est limitée voire inexistante. Concernant les rançons exigées par les malfaiteurs, elles sont de plus en plus importantes et fréquemment réclamées en cryptomonnaie, précise l’étude du SSMSI. La valeur médiane de leurs montants enregistrés auprès des services de police et de gendarmerie a progressé d’environ 50 % par an entre 2016 et 2020, avec un montant atteignant 6375 € pour l’année 2020.

Des groupes cybercriminels puissants

Selon le rapport franco-allemand sur la menace cyber, de plus en plus de groupes cybercriminels aux ressources financières et aux compétences techniques importantes ciblent des entreprises et institutions de grande taille capables de payer des rançons élevées.

Copublié depuis quatre ans par l’ANSSI et le BSI allemand, le « Common Situational Picture » alerte sur le fait qu’au-delà d’une finalité purement lucrative, les rançongiciels peuvent en outre être utilisés « à des fins de protestation, de déstabilisation, de sabotage ou d’espionnage informatique ». Les deux organisations plaident ainsi pour renforcer encore plus la coopération au profit de la cybersécurité. « A l’heure où la menace se globalise, la coopération internationale s’impose plus que jamais comme une nécessité. Nous devons continuer à travailler aux côtés de nos homologues européens, tel que le BSI, afin de contribuer à la stabilité du cyberespace », affirme ainsi Guillaume Poupard, directeur général de l’ANSSI. Tous deux, avec le BSI, veulent amplifier la collaboration entre acteurs publics et privés, via la certification de produits et services de sécurité, ou apporter une aide et une assistance immédiate aux victimes en cas de cyberattaques.

Philippe Pottiée-Sperry

👉 Découvrez le dernier ZePros Territorial

👉 Abonnez-vous gratuitement au journal numérique et à sa newsletter