Cyberattaques : ça n’arrive pas qu’aux autres !

Phishing, rançongiciels, harponnage, vols de données, logiciels malveillants… On ne compte plus les cyberattaques et leurs formes variées ayant touché ces dernières années les collectivités locales, les administrations et services publics. Hier « réservés » aux grandes entreprises, ces actes malveillants visent désormais le secteur public local. Les victimes ne sont plus uniquement les grandes collectivités ; ce sont désormais les hôpitaux publics et les communes, petites ou grandes, qui sont les proies des pirates informatiques.

Face à la menace grandissante, le SDIS doit se tenir prêt en renforçant sa politique de prévention. Elle passe par des gestes simples de chacun d’entre nous au quotidien et de bons réflexes à adopter en cas d’attaque de notre système d’information.

 

LES COLLECTIVITÉS LOCALES ET HÔPITAUX TOUCHÉS PAR DES CYBERATTAQUES : UN PHÉNOMÈNE CROISSANT

L’association Déclic a mis en ligne une carte interactive représentant toutes les collectivités et administrations publiques locales victimes d’actes de cybermalveillance depuis 2019. De quoi prendre conscience de l’ampleur d’un phénomène croissant…

L’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a enregistré 4 fois plus d’attaques ciblant les organisations en France en 2020 par rapport à 2019.

 

9 MARS 2023 – CYBERATTAQUE AU CHU DE BREST : LES ENSEIGNEMENTS À TIRER

Le 9 mars, le CHU de Brest a été victime d’une intrusion dans son système d’information. Les équipes informatiques ont été alertées grâce à une notification reçue qui évoquait la compromission des identifiants d’un utilisateur du CHU. A partir de cette information, les équipes informatiques se sont mobilisées pour rechercher des connexions avec ce compte.

 

 

Cette analyse révèle que le compte d’un utilisateur a bien été utilisé pour accéder frauduleusement au système d’information. Les équipes sont alors confrontées aux prémices d’une cyberattaque, durant laquelle l’assaillant entame la découverte et l’exploration de l’environnement informatique auquel il a réussi à accéder. Pour être serein et sûr d’arrêter l’attaque au bon moment, la décision est prise de couper Internet afin d’isoler le système d’information et limiter la propagation de l’attaque.

Durant ce temps, les investigations sont poursuivies avec le soutien de l’Agence nationale de la sécurité des systèmes d’information (Anssi). Un fonctionnement des services de soin en mode dégradé est activé avec un impact sur les applications du CHU en lien avec l’extérieur : prises de RDV, consultation d’imageries, transmission de résultats… Des opérations de renforcement de la sécurité sont effectuées et toutes les équipes de la Direction des systèmes d’informations sont fortement mobilisées pour gérer cet incident. Par chance, l’attaquant n’est pas parvenu à aller plus loin et ses capacités de nuisances sont restées très limitées, bien en dessous de ce dont il aurait eu besoin pour réussir à déployer largement un rançongiciel et à le déclencher…

 

A RETENIR

  • la bonne réactivité des équipes
  • la fermeture des portes d’entrée et de sortie du réseau (coupure internet)
  • le travail conjoint de tous les métiers
  • LA COMPROMISSION DU MOT DE PASSE D’UN UTILISATEUR UTILISÉ ÉGALEMENT SUR LES RÉSEAUX SOCIAUX POUR UN COMPTE PERSONNEL. LE HACKER EST PARVENU A PÉNÉTRER DANS LE SYSTÈME D’INFORMATION DU CHRU EN UTILISANT LE MOT DE PASSE QU’UN UTILISATEUR AVAIT UTILISÉ UN MOIS AUPARAVANT SUR SON COMPTE PERSONNEL FACEBOOK. C’EST LE PROBLÈME DE L’UTILISATION D’UN MËME MOT DE PASSE

 

DE TELS ACTES DE MALVEILLANCE DOIVENT NOUS RAPPELER QU’AUCUNE COLLECTIVITÉ N’EST ÉPARGNÉE, ET QUE NOTRE SÉCURITÉ INFORMATIQUE ET CELLE DU SERVICE PUBLIC DE SECOURS PASSE PAR LA VIGILENCE DE TOUS.

 

NOS CONSEILS POUR SECURISER VOS MOTS DE PASSE

 

1 – UTILISER UN MOT DE PASSE RENFORCÉ À 12 CARACTÈRES MINIMUM 
  • Varier les caractères : Majuscule, minuscule, Chiffre et caractères spéciaux. Plus il y a de variance, plus le mot de passe sera difficile à pirater.
  • Créer un long mot de passe : Il est conseillé d’avoir au minimum 12 caractères.
  • Créer une phrase sans aucun sens : LePetitChien est une phrase qui a un sens. A contrario : Funenbule$Gobelet!CroquetteParkinG42$ n’a aucun sens et constitue donc un bon mot de passe (Ne l’utilisez pas, on l’a déjà pris).
  • Eviter les noms communs/propres : Noms de star, de ses proches ou de ses animaux. Cela évite les piratages dit de “Social Hacking”.
  • Utiliser un mot qui n’est pas dans le dictionnaire ou avec une faute d’orthographe voulue
  • Utiliser une méthode phonétique ou la méthode des premières lettres :

« J’ai acheté huit cd pour cent euros cet après midi » se transforme en « ght8CD%E7am »

« Un jour à 11h j’ai vu deux membres NWX » se transforme en « 1Ja11HjV2mNwX »

 

2 – NE PAS UTILISER LE MÊME MOT DE PASSE POUR TOUS SES COMPTES

Ne pas utiliser le même mot de passe sur ses comptes personnels et professionnels. En effet, un mot de passe piraté permettra aux hackers d’accéder à plusieurs de vos comptes.

 

3 – UTILISER DES GESTIONNAIRES DE MOTS DE PASSE

Un gestionnaire de mots de passe est un logiciel qui stocke tous vos mots de passe et les protège en les chiffrant. Il vous évite de retenir des dizaines de mots de passe ou de les noter en clair dans un fichier texte ou un post-IT.

De ce fait, il ne vous reste plus qu’un seul mot de passe à retenir : le mot de passe maître. Il permettra d’ouvrir votre « coffre-fort » pour accéder à tous vos mots de passe.

Des solutions externes sont disponibles : Dashlane, Keepass ou 1Password

 

4 –UTILISER LA DOUBLE AUTHENTIFICATION QUAND CELA EST POSSIBLE

 Sous toutes ces formes : message, empreinte, anecdote, clé usb…

 

5 – NE JAMAIS ENVOYER SON MOT DE PASSE PAR MAIL OU VIA UN MESSAGE PRIVÉ

Ne pas laisser ses mots de passe sur son téléphone

Faites attention au phishing ! (technique de fraude utilisée qui a pour but de récupérer des informations personnelles en usurpant l’identité d’un tiers de confiance comme votre banque, votre FAI, une institution…)

 

6 – NE PAS UTILISER SON ADRESSE MAIL PROFESSIONNEL DANS SES USAGES PERSONNELS

 

7 – AVERTIR LE 4000 EN CAS DE PIRATAGE D’UN COMPTE PROFESSIONNEL OU MÊME PERSONNEL PAR PRUDENCE