Attaques de ransomware dans le secteur public
Publié le: 24 Juin 2021
Dernière modification le: 24 Juil 2025
Les attaques de ransomware dans le secteur public sont devenues de plus en plus courantes ces dernières années, les agences gouvernementales, les organisations de santé et les établissements d’enseignement étant des cibles fréquentes. Cependant, le secteur public a toujours été une cible pour les cybercriminels désireux de voler des données et de commettre des actes criminels. C’est ce que vérifie Verizon dans son Data Breach Investigations Report 2020 (DBIR), l’administration publique étant l’une des industries les plus ciblées et les ransomwares étant le type d’attaque le plus répandu. Un rapport de Darktrace va dans le même sens, indiquant qu’en 2020, « les administrations locales ont été la principale cible des attaques par ransomware ».
Les ransomwares sont des logiciels malveillants dangereux et insidieux qui sont de plus en plus répandus dans tous les secteurs d’activité. Les acteurs malveillants qui se cachent derrière ces logiciels malveillants sont de plus en plus habiles pour obtenir une rançon, non seulement en chiffrant les données, mais aussi en les volant. Nous examinons ici l’impact des ransomwares sur le secteur public et ce qui peut être fait pour l’atténuer.
Pourquoi le secteur public est-il exposé au risque d’attaques par ransomware ?
Il peut être difficile d’obtenir des informations sur l’ampleur réelle des cyberattaques dans les administrations publiques. Toutefois, en 2019, l’éditeur de solutions de sécurité SolarWinds a effectué une demande de liberté d’information. Les données renvoyées contenaient des informations intéressantes : alors qu’environ un tiers des personnes interrogées n’avaient subi aucune cyberattaque, un nombre croissant d’entre elles avaient subi plus de 1 000 attaques ciblées.
La plupart de ces attaques ont pris la forme d’hameçonnage et de logiciels malveillants. Et ce, malgré la mise en place de mesures de cybersécurité traditionnelles, telles que des pare-feu et des logiciels antivirus. L’étude montre clairement que le secteur public est dans le collimateur des cybercriminels et que les rançongiciels, qui sont actuellement les logiciels malveillants préférés, constituent une menace sérieuse pour le secteur.
Des attaques récentes très médiatisées, telles que l’attaque par ransomware de l’entreprise de services publics Colonial Pipeline aux États-Unis, montrent à quel point les gangs de ransomware sont prêts à aller loin. Dans cette cyberattaque, les données n’ont pas seulement été rendues inaccessibles par cryptage, perturbant ainsi les opérations, mais elles ont également été volées et utilisées comme moyen de pression pour obtenir le paiement de la rançon.
Selon un rapport d’ IBM X-Force , 59 % des incidents liés aux ransomwares impliquent une exfiltration des données avant que le chiffrement ne se produise. Colonial Pipeline était une bonne cible pour les ransomwares car elle joue un rôle d’infrastructure critique. De même, les entreprises de services publics sont des infrastructures critiques, fournissant des services importants aux citoyens qui dépendent des données : ce point n’a pas échappé aux gangs de ransomwares.
Les services publics tels que les districts scolaires, les établissements de soins de santé et même les conseils municipaux sont tous des cibles pour les attaquants de ransomware. Une attaque récente a touché le système de santé irlandais. L’attaque, soupçonnée d’avoir été menée par un gang de pirates informatiques connu sous le nom de Wizard Spider, a privé les hôpitaux de leurs ordinateurs pendant plus d’une semaine.
De la même manière que pour l’attaque de Colonial Pipeline, les pirates ont crypté les données et volé de grandes quantités d’informations afin d’augmenter la pression pour payer la rançon de 20 millions de dollars (14 millions de livres sterling). En 2020, une attaque par ransomware affectant le conseil de Redcar et Cleveland a fini par lui coûter environ 10 millions de livres sterling : les coûts encourus comprenaient des temps d’arrêt et des réductions des revenus de l’exécution.
Ransomware-as-a-Service dans le secteur public
Le secteur public couvre un large éventail de types d’organisations, allant des soins de santé aux conseils locaux, en passant par les décideurs politiques et les écoles. Le secteur public offre donc aux acteurs de la menace toute une série d’opportunités, non seulement pour perturber et extorquer, mais aussi pour voler des données.
Lindy Cameron, directrice générale du National Cyber Security Centre (NCSC) du Royaume-Uni, a récemment déclaré dans un discours prononcé lors de la conférence annuelle sur la sécurité du Royal United Services Institute (RUSI) que l’augmentation du nombre de ransomwares était due à un « effet cumulatif », les organisations n’ayant pas réussi à faire face à la sophistication croissante des attaques de ransomwares.
Les organisations du secteur public sont menacées par l’utilisation de ces attaques plus sophistiquées qui incluent le « Ransomware-as-a-Service (RaaS) ». Ces « kits » de ransomware facilitent grandement la création de campagnes de ransomware. Toute personne souhaitant participer à la lutte contre les ransomwares peut le faire moyennant une redevance mensuelle et une partie de la rançon.
Dans son discours, Mme Cameron note que le RaaS alimente l’augmentation des attaques par ransomware. Parmi ces kits RaaS, certains sont spécialement conçus pour cibler le gouvernement et le secteur public. C’est le cas d’Eking RaaS, identifié par Darktrace comme étant utilisé pour cibler les services gouvernementaux dans la région APAC.
Comment protéger le secteur public contre les attaques de ransomware ?
Le DBIR souligne que dans 85 % des violations de données, un être humain est impliqué. Le facteur humain est évident dans de nombreux types de cyberattaques, y compris les ransomwares ; un clic erroné dans un courriel malveillant est souvent le début du cauchemar des ransomwares.
Alors que les auteurs de ransomwares se concentrent sur le vol de données ainsi que sur le cryptage, l' »homme dans la machine » devient de plus en plus important comme moyen d’entrer dans une organisation. Le phishing est l’un des vecteurs d’attaque préférés des pirates, car il fonctionne. Dans le dernier DBIR pour 2021, Verizon souligne que le phishing et les ransomwares sont à nouveau très répandus ; en ce qui concerne les attaques des administrations publiques, l’ingénierie sociale est le vecteur d’attaque privilégié dans 69 % des cas.
La diffusion et l’infection des ransomwares empruntent plusieurs voies, mais comme nous l’avons mentionné, l’hameçonnage est l’une des plus courantes. Une enquête utilisant des données de services gérés a révélé que 54 % des attaques de ransomware commençaient par un courriel d’hameçonnage : les mauvaises pratiques des utilisateurs (27 %) et le manque de formation à la sécurité (26 %) étaient les autres problèmes les plus courants ayant conduit à l’infection par un ransomware.
Prévenir les attaques de ransomware dans le secteur public
La prévention des ransomwares dans le secteur public consiste à réduire les risques. Le risque de sécurité est réduit grâce à une approche socio-technique, de la même manière que les pirates informatiques attaquent le secteur public et d’autres industries en utilisant l’ingénierie sociale et les vulnérabilités techniques.
L’atténuation des principaux vecteurs d’infection par les ransomwares commence par une culture de la sécurité exceptionnelle. Pour ce faire, il convient de dispenser à l’ensemble du personnel une formation efficace en matière de sensibilisation à la sécurité. Elle est renforcée par l’utilisation des meilleurs outils de sécurité qui répondent aux exigences des normes et réglementations en matière de sécurité telles que la norme ISO27001.
Les attaques de ransomware dans le secteur public sont là pour durer jusqu’à ce que les organisations cessent d’être infectées et de payer la rançon. Dans les secteurs dépendant des données, tels que le secteur public et l’administration, ce dernier choix peut s’avérer difficile à faire. Cela signifie que des structures doivent être mises en place pour réduire les risques d’une infection réussie par un ransomware.
