RGPD, rançongiciels : les inquiétudes du Clusif sur les collectivités

L’association des spécialistes de la sécurité informatique vient de terminer son étude portant sur les menaces et les pratiques dans le domaine de la sécurité informatique.

Cette étude a été réalisée avec une analyse incluse du règlement européen portant sur la protection des données personnelles, pour le RGDP. Une chose à retenir à la suite de cette analyse, une augmentation des attaques fondées sur les logiciels de rançonnage.

Cet article va aussi vous intéresser : Les sites ont-ils le droit de bloquer les utilisateurs qui refusent d’accepter leurs cookies ?

Quand il en est à son habitude est au fondement même de sa création, le club de professionnels de la sécurité informatique, le Clusif mène des analyses sur la cybersécurité et les pratiques qui lui sont affiliées. Notons que le 30 juin dernier, le club publie un rapport de 52 pages sur « les menaces et pratiques dans les collectivités ». Ce rapport a abordé la question de politique de sécurité informatique ainsi que les relations entre les responsables de systèmes informatiques et des fournisseurs.

Pour rédiger le rapport, Il faut noter que l’étude s’est appuyée sur un ensemble de questionnaire qui aurait été soumis en début d’année après de 202 structures. Soit 31 communes, 111 communautés d’agglomération, urbaines ou métropoles, 34 communautés de communes, et 26 conseils territoriaux. Un échantillon qui dans la pratique est faible, mais qui permet de pouvoir observer certaines pratiques des collectivités.

La dernière étude de l’association remonte à 4 ans. Pour cette année certains points en particulier ont attiré l’attention des professionnels. En premier lieu, l’entrée en vigueur du règlement général de la protection des données, norme européenne, l’explosion des attaques par logiciels de rançonnage. Au niveau de la conformité à la norme européenne de défense des données personnelles :

– Seulement 34 pourcents des collectivités ont assuré être en conformité totale.

– 59% d’entre elles parlent d’une conformité partielle avec possibilité d’atteindre le total d’ici un an.

– 3/4 des collectivités territoriales ont bel et bien un délégué de protection des données personnelles engagé, une désignation qui est censée être obligatoire au regard du RGDP. À ce propos le responsable de sécurité du système d’information de Grenoble Alpes Métropole, Cyril Bras, considère cela comme un risque juridique, en tenant compte d’une situation où recruter un spécialiste en la matière est très difficile.

Les attaques aux logiciels de rançonnage sont en hausse. Le temps que la métropole de Marseille a été aussi victime en mi Mars ainsi que d’autres organisations publiques des plus les débuts de l’année. Une situation de l’association juge très inquiétante.

Si depuis la dernière étude de l’association la contamination par programmes malveillants a diminué de moitié, un tiers des communes et autres collectivités interrogées lors de cette récente enquête a confirmé avoir été victime de rançongiciels en 2019.

Et près de 4 organisations sur 5 ont essuyé de graves dommages après avoir subi ce genre d’attaques informatiques. La procédure de la cyberattaque est classique. En effet, le programme malveillant une fois dans le système chiffre l’ensemble des données, ce qui empêche alors les principaux utilisateurs d’informatique. A condition, bien sûr de verser la rançon exigée par les cybercriminels à l’origine de l’attaque informatique. Mais 80 % des collectivités affirment avoir pu récupérer leurs données et détecter au passage la source de la compromission.

Malheureusement, toutes les collectivités n’ont pas réussi cet exploit. La facture a été évalué jusqu’à 400 000 € pour les dommages liés à la compromission par un rançongiciel. « En matière de rançongiciels, le risque est clairement sous-estimé. Je crains un électrochoc, à l’image de la vague qui a frappé les collectivités américaines. », Note Cyril Bras.

Un autre point à retenir dans le rapport produit par l’association des professionnels de la sécurité informatique. Il touche principalement l’aspect de la perception du risque. En effet, il faut retenir que si une grande partie des communes et conseils régionaux essaient de se montrer le plus transparent possible dans leurs gestions du risque informatiques, une très grande majorité ne dépose pas plainte lorsque survient un incident de sécurité, généralement issu d’une cyberattaque. Il a été observé seulement que c’est dans un cas sur 10, une plainte a été déposée par une collectivité. Les spécialistes expliquent ce problème par le fait que généralement, qu’elles estiment que ce sont des procédures qui perdent énormément de temps et que très rarement, un résultat satisfaisant. Malheureusement, ces plaintes sont assez importantes pour les services de police et surtout de la justice, dans leur évaluation des menaces cyber et dans la définition de moyens de lutte efficace.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage