La spirale infernale des rançongiciels décryptée par l'Anssi

+255%. C'est l'évolution du nombre d'attaques par rançongiciels notifiées à l'Anssi entre 2019 et 2020. Si "aucun secteur d'activité ni zone géographique n'est épargné, il est observé une hausse des attaques à l'encontre des collectivités locales, du secteur de l'éducation, du secteur de la santé et d'entreprises de services numériques", note l'agence dans un rapport publié début février 2021.

Des rançons payées ?

Pourquoi les collectivités sont-elles si souvent attaquées ? L'agence avance plusieurs explications. Le faible niveau de sécurité des systèmes d'information de ces organisations ; la présence de données sensibles pouvant peser en faveur du paiement de la rançon ; l'impact social et politique généré par une rupture d'activité et, enfin, un "historique de rançons payées par des villes, rendant ces cibles attractives et rentables pour les attaquants". L'agence ne cite que des exemples de villes américaines ayant payé la rançon. Est-il possible que des collectivités françaises aient cédé à la tentation ? L'Anssi ne le dit pas mais note l'existence d'assurances couvrant ce risque. Elle souhaite du reste que la législation européenne soit modifiée pour que tous les acteurs incitant au paiement des rançons soient assimilés à des complices. Payer la rançon (souvent moins élevée que le coût de restauration) conforte en effet le modèle économique des cybercriminels incités à renouveler leurs attaques, notamment en direction des payeurs…

Double chantage

L'agence note par ailleurs la professionnalisation et l'industrialisation croissante des attaques, déclinées en trois types. Sous l'appellation de "Big game hunting", l'agence regroupe celles préparées parfois plusieurs mois à l'avance par des groupes de cybercriminels très organisés qui ciblent les institutions et les entreprises. De nombreux rançongiciels sont ensuite disponibles sur le "dark web" pour être loués – d'où leur qualificatif de "Ransomware-as-a-service (RaaS)" – à des groupes pratiquant des attaques plus massives. La majorité des incidents répertoriés en France en 2020 proviendraient de ce type de rançongiciel. Enfin, de plus en plus d'attaques visent "la double extorsion" : le cryptage des fichiers est précédé d'un vol de données que les cybercriminels menacent de publier si une rançon n'est pas payée. Un chantage qu'ont connu la ville et la métropole de Marseille, attaquée en mars 2020 et dont plusieurs gigas de données ont été publiés en août 2020 (preuve que la rançon n'avait pas été payée).

Pertes financières et image dégradée

Le rapport de l'Anssi éclaire enfin les pertes causées par les rançongiciels. Changements de matériels, recours à des prestataires spécialisés, restauration des données… toutes les attaques ont un coût financier significatif pour les organisations. Celui-ci peut atteindre plusieurs millions d'euros comme pour la SSII Sopra Steria, victime d'un rançongiciel en octobre 2020, qui a dû débourser pas moins de 50 millions d'euros. Il y a ensuite la "perte d'exploitation" induite par la paralysie des services, parfois pendant plusieurs semaines. Si cet arrêt n'a pas nécessairement des conséquences financières significatives pour les collectivités, il impacte fortement leur image, voire la confiance des usagers dans leur administration. Un vol de données aggravera cette perte de confiance, sans compter le risque d'amende de la Cnil s'il s'agit de données sensibles. L'Anssi souligne enfin l'impact psychologique de ces attaques sur les personnels et les dommages collatéraux possibles, les administrations étant de plus en plus interconnectées. 

Un tableau particulièrement sombre qui incitera sans aucun doute les collectivités à remettre à plat leur stratégie de cybersécurité pour se préparer au pire.