Cyberattaques dans les hôpitaux, universités, administrations… Comment mieux résister ?

Par Mohammed Chergui-Darif et Bruno Tiberghien.

Collectivités territoriales, administrations publiques, hôpitaux, écoles et universités, aucune de ces organisations publiques n’est à l’abri des cyberattaques, que la Défense française définit comme :

« (toute) action volontaire, offensive et malveillante, menée au travers du cyberespace et destinée à provoquer un dommage (en disponibilité, intégrité ou confidentialité) aux informations ou aux systèmes qui les traitent, pouvant ainsi nuire aux activités dont ils sont le support. »

Selon l’Agence de l’Union européenne pour la cybersécurité, 24,21 % des cybermenaces recensées depuis juillet 2021 à travers le monde visaient spécifiquement des administrations publiques.

Cependant, ce risque reste largement sous-estimé en France, comme le soulignait en 2020 une étude du Clusif, l’association de référence de la sécurité du numérique, menée auprès de collectivités territoriales – malgré le fait que près de 30 % d’entre elles ont subi des attaques par rançongiciel en 2019.

Des organismes plus vulnérables

En effet, contrairement aux entreprises privées qui peuvent investir fortement en cybersécurité, les administrations publiques ont généralement des moyens plus restreints. En conséquence, leur capacité à recruter des experts dans ce domaine, attirés par les salaires plus élevés du secteur privé, reste limitée. Ces contraintes renforcent leur vulnérabilité face aux cyberattaques, qui ont connu une augmentation considérable depuis la crise du Covid-19.

Depuis une dizaine d’années, les hôpitaux français étaient déjà des cibles privilégiées.

Encore très récemment, le 7 juin 2023, Aix-Marseille Université a connu une cyberattaque qui a eu pour effet le blocage total et temporaire de l’ensemble de ses services numériques pour les étudiants, les enseignants-chercheurs et les personnels administratifs. La direction du numérique de l’établissement ayant très rapidement isolé son réseau, cette mise hors d’accès a permis de préserver l’intégrité du système informatique, d’éviter des dégâts potentiellement importants et d’assurer un retour rapide à la normale.

Si un niveau élevé de sécurité permet de contrecarrer et résorber la plupart des tentatives d’intrusion, ces phénomènes posent néanmoins de sérieux défis en matière de résilience technologique et organisationnelle. En effet, comment assurer la continuité des services publics tout en protégeant les systèmes d’information et les données personnelles des utilisateurs (personnels et usagers) ?

Des mesures techniques et organisationnelles

La notion de résilience renvoie de manière générique à une capacité à résister, absorber et/ou rebondir face à un choc traumatisant, que cela soit à un niveau individuel, organisationnel, territorial voire sociétal. Sur le plan organisationnel, la résilience implique des capacités dynamiques visant à anticiper, résister, s’adapter ou encore se transformer, se réinventer.

Appliquée au domaine des technologies du numérique, la résilience implique à la fois des mesures de sauvegarde, de protection des données, mais aussi de maintien de l’activité. Selon une étude conjointe du cabinet de consulting KPMG et l’entreprise informatique Oracle, il convient de définir ces mesures de manière préventive afin qu’elles puissent être déployées efficacement et rapidement le cas échéant.

Plusieurs méthodes peuvent être mobilisées. Sur le plan technique, le principe du moindre privilège, selon lequel même les communications internes sont considérées non sécurisées, peut notamment être appliqué. De même, des systèmes de gestion de l’information et des événements de sécurité (SIEM) analysent les informations en temps réel pour détecter d’éventuelles anomalies. Enfin, rappelons qu’une bonne compréhension de la configuration du réseau est cruciale pour anticiper et prévenir les attaques.

Sur le plan organisationnel, obtenir une certification d’une autorité compétente peut aider à prouver que le système a atteint un certain niveau de sécurité. Une cartographie claire du système d’information, même s’il est complexe, reste également essentielle pour identifier les failles potentielles. La communication de crise auprès des usagers doit aussi être prête en cas de crise. Enfin, la formation du personnel doit permettre aux équipes de reconnaître les tentatives d’hameçonnage.

Le cas de l’entreprise GitHub, même s’il ne met pas en scène une administration publique, constitue une illustration de l’efficacité de ces principes. En 2018, ce site de développement collaboratif de logiciel a été victime de ce qui a été qualifié de plus importante cyberattaque de l’histoire, ce qui ne l’a pas empêché de maintenir son service grâce à une organisation bien pensée (réplication de données, existence de serveurs alternatifs) et une préparation préalable à ce genre d’attaque. Cet épisode montre que les solutions résident dans une approche qui combine des mesures techniques et organisationnelles.

Mohammed Chergui-Darif, Doctorant contractuel en science de gestion à l’Institut de Management Public et Gouvernance Territoriale (IMGPT) / CERGAM, Aix-Marseille Université (AMU) et Bruno Tiberghien, Maître de conférences HDR en sciences de gestion à l’Institut de Management Public et de Gouvernance Territoriale (IMPGT) d’Aix-en-Provence, Aix-Marseille Université (AMU)

Cet article est republié à partir de The Conversation sous licence Creative Commons. Lire l’article original.