État des menaces Cyber : les Collectivités Territoriales en ligne de mire ?

Quel est l’état des menaces Cyber pour nos communes ? Dans un rapport publié ce 24 février, l’ANSSI dresse un bilan éclairant sur les cyberattaques qui ont visé les collectivités territoriales en 2024. Entre rançongiciels, exfiltrations de données et hacktivisme, elles sont plus que jamais des cibles privilégiées des cybercriminels. Explications.

Une vulnérabilité identifiée

Les collectivités territoriales, maillons essentiels entre l’État et les citoyens, gèrent des services cruciaux allant de l’état civil à l’approvisionnement en eau. Mais cette position centrale les expose à des risques cyber accrus. « Les collectivités territoriales sont en effet des cibles de choix pour ces acteurs : souvent peu ou mal sécurisées, gestionnaires de systèmes d’information nombreux et disparates », souligne en effet l’ANSSI dans son rapport. Ainsi, en 2024, 218 incidents cyber ont été traités par l’agence, soit une moyenne de 18 par mois. Les communes et EPCI (Établissements Publics de Coopération Intercommunale) sont particulièrement touchés, représentant la majorité des incidents signalés.

Les Rançongiciels, fléau persistant

Les attaques par rançongiciels restent une menace majeure. Sur les 25 incidents de ce type rapportés en 2024, 21 ont eu des impacts significatifs sur les collectivités ciblées. Les souches LOCKBIT et RAMSOMHUB, précise l’ANSSI, figurent parmi les plus signalées. Et de poursuivre : « La majorité des victimes de rançongiciel sont des communes et EPCI à fiscalité propre ». Ces attaques, bien évidemment, paralysent les services publics, obligeant souvent les collectivités à basculer en mode dégradé. La compromission d’une commune par LOCKBIT 3.0 en avril 2024 a contraint celle-ci par exemple à isoler son système d’information, perturbant l’ensemble de ses services.

Exfiltration et vente de Données, un marché lucratif

On entend souvent lors de tables rondes ou de keynotes que la question « n’est plus de savoir si mais quand on sera touché ». Or, comme le détaille l’ANSSI, les données personnelles et administratives détenues par les collectivités attirent les cybercriminels. Ainsi, en 2024, plusieurs collectivités ont vu leurs données exfiltrées et mises en vente sur le darknet. « Les données administratives, financières et personnelles des administrés présentent un intérêt pour les attaquants », note l’ANSSI. Autre exemple, en janvier 2024, une commune a subi une fuite massive de données, exposant l’annuaire complet de ses employés sur des forums cybercriminels. Ces incidents soulèvent des enjeux juridiques et réputationnels majeurs pour les collectivités concernées.

Quand la Géopolitique s’invite dans le Cyberespace

Les tensions géopolitiques alimentent également un autre risque : celui des attaques hacktivistes. Depuis 2022, les collectivités françaises sont régulièrement ciblées par des groupes pro-russes ou pro-palestiniens. Ces attaques, souvent des dénis de service (DDoS), visent à déstabiliser sans causer de dommages irréversibles. La vague d’attaques du 31 décembre 2024, revendiquée par le groupe NoName057(16), illustre cette tendance. Des dizaines de collectivités ont été touchées, sans conséquences majeures, mais ces actions témoignent d’une menace persistante.

Sabotage étatique : une menace latente

Rares en France, les attaques de sabotage par des acteurs étatiques restent une préoccupation. En 2023, un groupe lié à l’Iran a tenté de compromettre une infrastructure de gestion de l’eau aux États-Unis. Ces attaques visent souvent des infrastructures critiques, comme l’approvisionnement en eau ou en énergie. En France, bien que les collectivités n’aient pas subi de sabotage récent, des campagnes de reconnaissance ont été signalées en 2024, notamment autour des infrastructures liées à l’eau.

Des Données sensibles convoitées

Les collectivités ne sont pas les premières cibles de l’espionnage, mais elles détiennent des données sensibles. En 2024, des campagnes de hameçonnage ciblées ont visé des collectivités israéliennes et argentines, orchestrées par des groupes liés à l’Iran et à la Russie. Ces attaques montrent que les collectivités peuvent être des maillons faibles dans la chaîne de sécurité nationale. « Les collectivités peuvent également, à leur insu, participer à la construction d’infrastructure d’attaques », avertit l’ANSSI.

Renforcer la Sécurité des Collectivités

Pour faire face à ces menaces, l’ANSSI recommande plusieurs mesures. La mise en place de plans de reprise d’activité (PRA) est essentielle pour minimiser les impacts des incidents. Ces plans doivent inclure des sauvegardes saines et déconnectées du réseau, permettant une restauration rapide des services. La sécurisation des équipements périphériques, comme les routeurs, est également cruciale pour éviter leur enrôlement dans des réseaux d’anonymisation utilisés par des groupes d’attaquants. Enfin, la sensibilisation des utilisateurs et la mise en œuvre de mesures de durcissement des systèmes d’information sont indispensables pour prévenir les compromissions. « La présence d’un plan de reprise d’activité (PRA) recensant et priorisant les différentes applications ainsi que la disponibilité de sauvegardes saines et déconnectées du réseau permettent d’améliorer significativement le temps nécessaire aux actions de remédiation », conclut l’ANSSI.

Pour accéder au rapport, c’est par ici.