Dur mois de Janvier sur l’Anjou : après la Mairie d’Angers, c’est au tour de la clinique de l’Anjou d’être victime d’une attaque informatique. L’ANSSI (L’Agence Nationale de Sécurité des Systèmes Informatiques) est sur place et aide les équipes informatiques a trouver la faille et limiter les dégats.
Que s’est-il passé ?
Dans le cas de la Mairie d’Angers, le premier piratage visible a été celui du compte Twitter du Maire, M. Christophe BECHU. Mais dans la nuit et le lendemain, des informations indiquaient déjà une intrusion dans les systèmes informatiques de la Mairie. Pour la clinique de l’Anjou, aucune information n’a été communiquée.
Dans les deux cas, il ne semble pas y avoir eu exfiltration de données des usagers, selon les informations transmises aux médias. C’est une bonne nouvelle, une Mairie comme un clinique possède nécessairement des données confidentielles sur ses usagers.
Voir l’article sur Ouest France
Mais qui en veut aux angevins ?
On ne le saura peut-être jamais. Remonter à la source d’une attaque informatique est une démarche complexe : les pirates brouillent les pistes, voire posent volontairement de fausses pistes. C’est le travail des enquêteurs, épaulés par l’ANSSI, d’apporter une réponse à cette question.
Pourquoi tant d’attaques en ce moment ?
Car elles sont rentables et que les pirates ne risquent pas grand-chose ! Bien que l’ANSSI conseille de ne pas payer les rançons, et même qu’aux Etats-Unis, les juges considèrent le paiement de la rançon comme un financement d’activité illégales, il arrive que les victimes obéissent aux pirates.
Ce n’est pas si fréquent, mais suffisant pour que les cyberattaques soient considérées comme rentable par les groupes mafieux et organisés qui se cachent derrière les écrans. La nouvelle tendance, pour faire craquer les victimes, va même jusqu’au harcèlement téléphonique : « nous savons que vous tentez de redémarrer vos sauvegardes, mais vous devriez payer car nous sommes encore dans vos systèmes… ».
Comment se protéger ?
Ne jamais dire jamais, et se préparer aux pires scénarii.
La première démarche consiste a poser des protections périmétriques : sécuriser les connexions internet, les accès distants, les flux de messagerie, etc… tout en s’assurant que les sauvegardes permettraient une remise en service en cas de besoin. Il est conseillé d’avoir une copie externe des données, afin d’éviter qu’elles puissent être touchées en cas d’intrusion.
La tendance est même de ne pas avoir confiance dans ses propres équipements et de renforcer le réseau en considérant qu’ils peuvent se transformer en plateforme d’attaque s’ils sont pris en main par un pirate.
Il faut ensuite préparer un PRA (Plan de Reprise d’Activité). C’est à dire, réfléchir a comment faire repartir les systèmes en cas d’incident majeur. Il est préférable d’y réfléchir à tête reposée qu’en temps de crise avec un stress supplémentaire.
En résumé :
- Activer la sécurité périmétrique (accès internet / e-mails)
- Assurer un niveau de sauvegarde et les externaliser
- Cloisonner ses réseaux et bunkeriser ses données (zero-trust)
- Préparer les situations de crise