Un expert en cybersécurité éclaire les conséquences d’une attaque contre des institutions publiques, révélant comment ces incidents pourraient affecter les citoyens et engendrer des responsabilités légales pou les organismes concernés. Sa perspective met en lumière les techniques couramment utilisées par les cybercriminels et les motivations derrière ces actes malveillants.
Le CISO de UNIVERSAE et expert en cybersécurité nous révèle ce qui se cache derrière les attaques contre les organismes publics
Début décembre, un groupe de hackers russes dénommé « Trinity » a affirmé détenir 560 Go de données volées du fisc. L’Agence fiscale a nié la fuite, suggérant que le piratage aurait eu lieu au sein d’une entreprise externe. Cependant, la possibilité d’une attaque contre une institution publique aussi importante n’est pas à négliger, comme le montre un incident récent concernant le CSIC.
C’est pourquoi nous avons interviewé Andrés Soriano, CISO de l’institution d’enseignement supérieur UNIVERSAE et expert en cybersécurité, afin qu’il nous explique ce qu’il adviendrait si le fisc était piraté, quels sont les méthodes les plus courantes utilisées par les cybercriminels, ou encore ce qu’ils recherchent à travers des piratages publics, entre autres éléments clés.
A4A : En cas de piratage du fisc, comment les citoyens seraient-ils affectés ? Si, par exemple, les criminels obtenaient des données ou les utilisaient dans le cadre d’activités criminelles, comment l’Agence se tiendrait-elle responsable ?
Andrés Soriano (AS) : Bien que l’Agence fiscale (AEAT) ait récemment nié avoir subi une faille de sécurité, il est pertinent de réfléchir aux répercussions d’une attaque cybernétique hypothétique où un groupe criminel parviendrait à exfiltrer des données sensibles de l’AEAT. Dans un tel scénario, les conséquences seraient significatives pour les citoyens ainsi que pour l’institution, puisque les informations gérées par l’Agence fiscale incluent des données personnelles, financières et d’autres informations très sensibles sur toutes les personnes physiques et morales soumises aux obligations fiscales du gouvernement espagnol.
Tout d’abord, les citoyens feraient face à des risques directs liés à l’exposition de leurs données sensibles. Des informations telles que noms, adresses, numéros d’identification fiscale, revenus, comptes bancaires et cartes associées, propriétés, subventions et aides dont ils bénéficient, niveaux de handicap, etc., pourraient être utilisées pour des vols d’identité, des fraudes financières ou de l’extorsion. Les attaquants pourraient également se servir de ces informations pour mener des campagnes de phishing ciblées, simulant des communications légitimes de l’AEAT ou d’autres institutions, afin d’obtenir encore plus de données ou d’argent de la part des victimes. Cette situation compromettrait non seulement la sécurité individuelle des personnes touchées, mais générerait également une méfiance généralisée envers les institutions publiques chargées de protéger les données des citoyens.
D’autre part, l’AEAT devrait faire face à d’importantes responsabilités juridiques et opérationnelles. Conformément au Règlement Général sur la Protection des Données (RGPD), l’Agence serait tenue d’informer à la fois les autorités compétentes et les citoyens affectés par l’incident, en fournissant des détails sur l’ampleur de la violation et les mesures prises pour atténuer les risques. Si des défauts dans les dispositifs de sécurité mis en place étaient identifiés, l’AEAT pourrait encourir des sanctions administratives significatives, en plus de dommages réputationnels pouvant compromettre sa capacité à gérer des informations critiques.
Ce scénario hypothétique souligne l’importance pour les institutions publiques et gouvernementales, en particulier celles manipulant des données sensibles sur l’ensemble des citoyens, d’adopter un dispositif proactif en matière de cybersécurité. Cela implique non seulement de mettre en œuvre des technologies avancées, mais aussi de disposer d’un personnel qualifié et compétent pour relever ces défis. Cela doit être accompagné de l’établissement de protocoles clairs et structurés pour la réponse aux incidents. De plus, une collaboration internationale est essentielle entre différentes administrations gouvernementales et les Forces et Corps de Sécurité de la Communauté Internationale pour renforcer l’écosystème de sécurité, alors que nous faisons face à un environnement de menaces transnationales de plus en plus sophistiquées et en constante évolution.
A4A : Comment est-il possible que des administrations publiques ou des entreprises dépensant des millions d’euros en sécurité soient piratées ? Souvent, elles le sont par une seule personne, et non par des groupes organisés. Récemment, nous avons vu l’exemple du CSIC, qui rencontre des problèmes depuis plusieurs semaines suite à une attaque, pourquoi cela se produit-il ?
AS : Le fait que des administrations publiques ou des entreprises investissant des millions d’euros dans la cybersécurité soient mises en péril, comme cela a été le cas récemment avec le CSIC, où une attaque par ransomware a paralysé des opérations clés, démontre que l’investissement financier n’assure pas toujours l’invulnérabilité. Dans le cas du CSIC, les attaquants ont exploité des vulnérabilités dans des systèmes obsolètes et ont profité de la complexité du réseau pour chiffrer de nombreux fichiers, obligeant à déconnecter des systèmes critiques comme mesure de confinement. Cette attaque met en lumière comment même les organismes disposant de larges ressources peuvent être victimes de défaillances dans la gestion des risques ou dans la mise à jour et la modernisation des infrastructures.
Un facteur clé facilitant ce type d’incidents est l’erreur humaine, notamment à travers le phishing et l’ingénierie sociale, qui sont des vecteurs d’attaque largement utilisés par les cybercriminels. Ces techniques reposent sur la tromperie et la manipulation du personnel, poussant les employés à offrir un accès involontaire aux systèmes via des e-mails frauduleux, des liens malveillants ou la divulgation de données d’identification confidentielles. Malgré les investissements dans la technologie, une seule interaction négligée de la part d’un employé peut compromettre la sécurité de toute l’organisation. Ces tactiques sont efficaces car elles n’attaquent pas directement l’infrastructure technologique, mais plutôt le maillon le plus faible : les personnes.
De plus, les menaces internes aggravent la situation. Les employés malveillants ou ceux qui, par ignorance, désactivent des contrôles de sécurité ou accèdent indûment à des informations critiques, peuvent ouvrir des voies d’accès inattendues aux attaquants. La combinaison de ces facteurs fait que l’erreur humaine, qu’elle soit causée par une manipulation externe ou des actions internes, pose un défi significatif pour les stratégies de cybersécurité.
La coexistence de systèmes obsolètes, l’utilisation de techniques d’ingénierie sociale et la complexité des infrastructures font des grandes organisations des cibles attrayantes. Les attaquants, même agissant de manière individuelle, emploient des tactiques agiles et précises pour exploiter ces faiblesses, tandis que les institutions, souvent limitées par des processus bureaucratiques, peuvent mettre du temps à appliquer les mesures nécessaires. Par ailleurs, les risques liés à la chaîne d’approvisionnement amplifient les vulnérabilités, car les fournisseurs externes sont souvent utilisés comme points d’entrée indirects.
Pour atténuer ces risques, il est nécessaire d’adopter une approche globale qui combine technologie, processus clairs, personnel spécialisé, formation continue et promotion d’une culture de la sécurité à tous les niveaux du tissu productif.
A4A : Quels sont les méthodes les plus utilisées par les cybercriminels pour mener des piratages ?
AS : Les cybercriminels utilisent une large gamme de méthodes pour mener à bien leurs activités illicites, combinant méthodologies techniques et humaines qui leur permettent de pénétrer les défenses de presque n’importe quelle organisation. Parmi les méthodes les plus utilisées, le phishing reste l’un des principaux vecteurs d’entrée. Cette technique utilise des e-mails, des messages ou des appels frauduleux se faisant passer pour des sources légitimes afin de tromper les utilisateurs et d’obtenir des identifiants d’accès ou d’installer des malwares sur les systèmes. En parallèle, l’ingénierie sociale manipule psychologiquement les employés pour qu’ils réalisent des actions nuisibles, comme partager des informations sensibles ou désactiver des contrôles de sécurité.
Un autre méthode courante est l’exploitation des vulnérabilités. Les attaquants effectuent des scans automatisés afin d’identifier les failles de sécurité dans des systèmes ou des applications qui n’ont pas été patchés. Ces vulnérabilités permettent de compromettre des services, d’injecter du code malveillant ou d’escalader les privilèges au sein du réseau. Dans les environnements avec des systèmes hérités, ces failles peuvent s’avérer particulièrement critiques, car elles manquent généralement de support ou de mises à jour régulières.
L’utilisation de malware, en particulier les ransomwares, a gagné en pertinence ces dernières années. Ce type de logiciel malveillant chiffre les données de la victime et exige une rançon pour les libérer. Souvent, le ransomware est combiné avec l’exfiltration de données sensibles afin d’exercer une pression supplémentaire sur l’organisation affectée. D’autres types de malware, tels que les chevaux de Troie et les keyloggers, sont utilisés pour obtenir un accès persistant aux systèmes ou pour enregistrer des informations sensibles, comme des mots de passe et les activités des utilisateurs.
Une tendance croissante est l’action des courtiers d’accès initiaux, des cybercriminels spécialisés dans la compromission de réseaux et la vente d’accès initiaux à d’autres organisations criminelles. Ces accès incluent des identifiants valides, des connexions VPN compromises ou des portes dérobées sur des serveurs, facilitant des attaques plus sophistiquées telles que les ransomwares ou l’espionnage.
Les attaques sur la chaîne d’approvisionnement constituent un autre vecteur critique. Les attaquants compromettent les fournisseurs externes ou les développeurs de logiciels qui interagissent avec l’organisation cible, infiltrant des malwares ou altérant des mises à jour légitimes pour obtenir accès aux systèmes internes de la victime.
Enfin, les menaces internes représentent un danger considérable. Ceci peut inclure des employés mécontents agissant de manière malveillante ou du personnel qui, par négligence, facilite sans le vouloir l’accès à des attaquants. Les insiders sont difficiles à détecter, car ils opèrent depuis l’intérieur du réseau et peuvent avoir un accès privilégié aux information critiques.
A4A : Que cherchent généralement les hackers à obtenir par des attaques contre des organismes publics ?
AS : Les attaques contre des organismes publics sont souvent motivées par divers objectifs stratégiques, économiques ou géopolitiques. Les cybercriminels qui dirigent leurs efforts vers ces entités le font en profitant de leur importance institutionnelle, du volume et de la sensibilité des données qu’ils gèrent, ainsi que de la possibilité de provoquer un impact significatif sur la société. Parmi les principaux objectifs de ces attaques, on note :
Accès à des données sensibles :
Les organismes publics gèrent d’importantes quantités d’informations confidentielles, comme des données personnelles, financières et de sécurité nationale. Les attaquants recherchent ces informations pour les vendre sur des marchés clandestins, les utiliser pour l’extorsion ou d’autres fins criminelles telles que le vol d’identité ou la fraude massive.
Exemple : Données fiscales, dossiers de santé, dossiers judiciaires ou listes de population.
Espionnage et obtention d’informations stratégiques :
Les acteurs soutenus par des États cherchent des informations stratégiques pouvant offrir des avantages tactiques, politiques ou économiques. Ce type d’espionnage inclut l’obtention de données sur des politiques gouvernementales, des contrats sensibles, des relations diplomatiques ou des technologies en développement.
Exemple : Menaces avancées persistantes (APT) exploitant des vulnérabilités pour infiltrer des réseaux critiques et saboter des élections présidentielles.
Déstabilisation et interruption des opérations :
Certaines attaques visent à paralyser des services essentiels comme les systèmes bancaires, de santé publique ou les infrastructures critiques (eau, énergie, transport), engendrant le chaos, la méfiance et affectant la continuité des opérations gouvernementales.
Exemple : Attaques de ransomware chiffrant des systèmes et des infrastructures, ou attaques par déni de service distribué (DDoS) visant des infrastructures critiques.
Motivations économiques :
Beaucoup d’attaques visent principalement l’extorsion via des ransomwares, où les attaquants chiffrent des données ou bloquent des systèmes, exigeant une rançon pour restaurer l’accès. Les organismes publics, gérant des services essentiels, sont perçus comme susceptibles de payer en raison des conséquences d’une interruption prolongée.
Exemple : Exigence de rançons multimillionnaires après un cyberattaque ciblant un système public de santé ou fiscal.
Propagande et revendications idéologiques :
Certains attaques sont motivées par l’idéologie de l’attaquant, que ce soit pour exposer des supposées défaillances du gouvernement, promouvoir des agendas politiques, ou protester contre des politiques spécifiques. Ces attaques sont souvent réalisées par des hacktivistes visant à obtenir une visibilité médiatique.
Exemple : Défiguration de sites web gouvernementaux ou publication massive de documents internes pour discréditer les institutions.
Attaques ciblant la chaîne d’approvisionnement gouvernementale :
Les cybercriminels se concentrent également sur les fournisseurs ou les entrepreneurs travaillant avec des organismes publics. Ceci leur permet d’accéder indirectement aux systèmes gouvernementaux, contournant des mesures de sécurité plus strictes.
Exemple : Compromission de logiciels ou de matériels fournis à une entité gouvernementale.
Création d’incertitudes et de méfiance publique :
Éroder la confiance des citoyens dans la capacité du gouvernement à protéger leurs données et à garantir des services essentiels. Cela peut avoir des répercussions politiques et sociales à long terme.
A4A : De quelle manière un piratage affecte-t-il les utilisateurs ou les clients d’un service ? (public et privé) Existe-t-il des assureurs qui comblent les pertes pour les utilisateurs, ou des protocoles universels, ou est-ce fonction de chaque entité ?
AS : Un incident cibernétique de cette ampleur, qu’il provienne d’une entité publique ou privée, touche les utilisateurs grâce à l’exposition de données sensibles, l’interruption de services et la perte de confiance dans l’institution, entre autres aspects. Dans des attaques comme le phishing, le ransomware ou l’exploitation de vulnérabilités, les cybercriminels accèdent à des informations confidentielles, telles que des données personnelles ou financières, pouvant être utilisées pour des vols d’identité, de l’extorsion ou des fraudes ciblées. De plus, les utilisateurs peuvent faire face à des problèmes opérationnels, tel que la paralysie de services critiques, avec des répercussions économiques ou sociales.
Dans le secteur privé, de nombreuses entreprises disposent de polices d’assurance cybersécurité, qui couvrent les frais découlant d’un cyberattaque, tels que les coûts de récupération, les indemnités pour les utilisateurs affectés et les services de protection comme la surveillance des identités. Ces assureurs aident à atténuer les conséquences financières et de réputation, bien que la disponibilité et la couverture spécifique dépendent de chaque police et entreprise.
Dans le secteur public, il n’existe généralement pas d’assurances spécifiques pour ce type d’incidents. Néanmoins, des réglementations comme le Règlement Général sur la Protection des Données (RGPD) obligent les organisations à informer les personnes touchées, à mettre en œuvre des mesures pour réduire l’impact et, en cas de négligence, à subir des sanctions économiques. Il n’existe pas de protocole universel pour gérer ces situations ; la réponse dépend du cadre réglementaire de chaque pays et des politiques internes de l’entité affectée.
A4A : Y a-t-il quelque chose que les utilisateurs puissent faire pour rester en sécurité après un piratage ? Ou, tout simplement, peuvent-ils attendre que l’entité règle la situation ?
AS : Lorsque l’on confirme qu’une administration ou une entreprise a été victime d’un incident de sécurité, les utilisateurs ne sont pas limités à attendre que l’entité concernée gère l’incident ; il existe des mesures proactives qu’ils peuvent prendre pour se protéger et minimiser les risques.
Tout d’abord, il est impératif de changer immédiatement les mots de passe des comptes liés aux services compromis, en créant des clés uniques et robustes qui n’ont pas été utilisées précédemment. De plus, il est essentiel de surveiller attentivement les comptes bancaires et financiers pour détecter toute activité suspecte, en informant immédiatement l’institution financière en cas de mouvements irréguliers.
Les utilisateurs doivent être particulièrement vigilants face aux tentatives de phishing, car les attaquants pourraient utilisateur les données volées pour envoyer des messages personnalisés semblant légitimes. Il est crucial d’éviter de cliquer sur des liens ou de télécharger des fichiers provenant de communications non vérifiées.
Il est également important de suivre les recommandations officielles émises par l’entité concernée, car elles incluent souvent des mesures spécifiques pour atténuer les effets de l’incident. En parallèle, il faut éviter de fournir des informations supplémentaires via des canaux non vérifiés, car les attaquants pourraient tenter de profiter de la confusion pour tromper les utilisateurs et obtenir plus de données sensibles.
Pour renforcer la sécurité, il est recommandé d’activer des mesures supplémentaires qui devraient déjà être mises en place par tous les utilisateurs, comme l’authentification à deux facteurs (MFA) sur tous les services qui le permettent, ajoutant ainsi une couche supplémentaire de protection contre l’utilisation abusive des identifiants. Dans ces situations, la rapidité et la prudence sont essentielles, et adopter ces mesures peut faire la différence pour minimiser les conséquences d’un cyberattaque et protéger les informations personnelles contre de futurs risques.