Sur l’année 2024, l’Agence Nationale de la Sécurité des systèmes d’Information (Anssi) a traité 218 incidents cyber affectant les collectivités territoriales, soit une moyenne de 18 incidents par mois. 

Ces chiffres ne signifient pas que seulement 218 collectivités ont été attaquées en 2024. Pour rappel, selon Cybermalveillance.gouv.fr, qui a publié une étude sur la maturité cyber des collectivités à l'occasion du dernier Congrès des maires, une collectivité sur 10 déclare avoir déjà été victime d’une ou plusieurs attaques au cours de l’année 2024.

Ceci étant dit, les incidents qui ont été signalés et traités par l’Anssi visant les collectivités représentent 14 % de l’ensemble des incidents déclarés en 2024. Au total, l’Agence a traité 44 incidents affectant des départements, 29 incidents affectant des régions, 144 touchant les communes et 2 évènements de cybersécurité ciblant des EPCI sans fiscalité propre. SI le nombre de communes est naturellement plus élevé, il montre cependant que contrairement aux départements, le signalement d’incidents auprès de l’Anssi est effectué de façon moins systématique. Les communes en effet doivent encore s’approprier le sujet de la cybersécurité (lire Maire info du 21 novembre 2024).

Rançongiciel et vol de données 

« De nombreuses municipalités (…) sont victimes d’attaques menées par des groupes cybercriminels au moyen de rançongiciels » , peut-on lire dans le rapport de l’Anssi. Ce type d’attaque est l’un des modes opératoires les plus prisés par les cybercriminels qui mettent en place « un programme malveillant dont le but est d’obtenir de la victime le paiement d’une rançon ».

L’année dernière, « 25 incidents touchant des collectivités territoriales liés à des compromissions et chiffrements par rançongiciel ont été rapportés à l’Anssi, soit 11 % des incidents en lien avec ce secteur » . Il apparaît que la majorité des victimes de rançongiciel sont des communes et EPCI à fiscalité propre. Sur la période étudiée, 21 de ces 25 incidents ont engendré des effets importants sur le fonctionnement des communes attaquées. « Des exfiltrations de données à caractère technique, personnelle ou administrative ont été identifiées au cours de 12 incidents », précisent les auteurs.

On apprend qu’au mois d’avril 2024, l’Anssi a été « alertée de la compromission et du chiffrement d’une commune »  par rançongiciel. « En raison de l’ampleur de la compromission, la commune a été contrainte d’isoler son système d’information d’internet et de couper l’ensemble des interconnexions avec d’autres communes. Le système d’information du bénéficiaire hébergeant ceux d’autres organisations, la coupure des accès a rendu les services de ces dernières indisponibles. La réouverture des flux a été permise progressivement dans les semaines suivant l’incident. »  Cet exemple prouve une fois encore à quel point une cyberattaque peut paralyser tous les services d’une municipalité (lire Maires de France de juin 2024).

Autre enseignement : « en 2024 de nombreuses collectivités territoriales ont fait l’objet de vente d’accès à leurs systèmes d’information ou à leurs données par des acteurs cybercriminels sur des forums du darknet. »  L’Anssi souligne à juste titre que ces vols de données « constituent enfin un véritable enjeu pour les collectivités territoriales sur les plans juridiques et réputationnels. »  À titre d’exemple, en début d’année 2024 une commune a été affectée par une fuite de données. « L’ensemble de l’annuaire de la commune a été exfiltré et partagé sur plusieurs forums cybercriminels, exposant des données personnelles des employés de la ville », rapportent les services de l’Anssi. 

Montée de l’hacktivisme et du sabotage 

Depuis plusieurs années, deux autres types d’attaques qui ne visent pas un but lucratif se développent particulièrement : les attaques « menées par des groupes plus ou moins informels d’activistes aux motivations politiques »  et les attaques « menées par des groupes affiliés à des États ayant des objectifs de sabotage ».

Par exemple, le soutien apporté par la France à l’Ukraine depuis 2022 a « entraîné des vagues régulières d’attaques par déni de service distribué (DDoS) contre des entités de toute nature, notamment des sites Internet de collectivités territoriales françaises » . Les hackers exploitent « des failles de sécurité dans les sites Internet de nombreuses communes et modifient le contenu des pages affichées et y inscrivent des revendications politiques ou religieuses, souvent liées au contexte géopolitique » . Plusieurs dizaines de sites de mairies françaises ont fait l’objet de défigurations portant des messages pro-russes en mai 2023, selon l’Anssi. Comme le souligne l’Agence, « si ces attaques ne sont pas d’une grande sophistication, elles portent atteinte à l’image de ces collectivités et peuvent susciter la crainte chez leurs administrés ». 

Le sabotage reste plus rare en France mais doit être pris au sérieux dès maintenant. Le but des cybercriminels est de prendre le contrôle d’une infrastructure et de créer des dommages. « Les infrastructures liées à l’approvisionnement en eau et en énergie, souvent opérées ou sous la responsabilité des collectivités, sont des cibles récurrentes de ce type d’attaque », dans le monde. 

Suivez Maire info sur Twitter : @Maireinfo2