Par Dominique Chartier, M.A.P. ADO, directeur des projets spéciaux
Fédération québécoise des municipalités
1 juin 2023
Les municipalités sont des cibles privilégiées pour les cybercriminels en raison de la nature des données qu’elles détiennent et de leur rôle de première ligne auprès des citoyens. Ironiquement, sachant ce qui précède, on entend souvent « Qui va s’intéresser à une organisation municipale comme la nôtre? ». Pourtant, l’analyse du risque ne devrait pas s’appuyer sur l’attrait que pourrait avoir une organisation pour les cybercriminels, mais bien sur sa vulnérabilité.
Je vous propose un exemple qui diffère de celui qui est habituellement proposé pour l’hameçonnage, mais qui, je crois, est plus représentatif des stratégies qu’utilisent les cybercriminels. Les hyènes, qui sont reconnues pour être particulièrement tenaces, ont comme stratégie de chasse de harceler un troupeau de gazelles jusqu’à ce qu’il se déplace. Ce mouvement leur permet d’identifier les proies les plus vulnérables parmi le groupe et, une fois identifiées, les hyènes ne ménagent aucun effort pour arriver à leur fin.
Tout comme elles, les cybercriminels utilisent des moyens sophistiqués pour créer de vastes listes d’adresses courriel d’organisations municipales. Ça, c’est leur troupeau. Par la suite, ils lancent, à répétition, des campagnes massives de faux courriels (campagnes d’hameçonnage).Ça, c’est le harcèlement. Lorsque les destinataires moins attentifs ouvrent ces courriels frauduleux et cliquent sur le lien piégé, les cybercriminels sont immédiatement prévenus qu’une cible est à découvert. Ils ont identifié leur proie. Le script malveillant est déjà à l’œuvre, permettant aux cybercriminels de se frayer un chemin « silencieusement » dans le réseau de l’organisation municipale.
Les pirates ne vous ciblent pas forcément directement, mais vous avez démontré votre vulnérabilité.
Ainsi, si les serveurs, les ordinateurs, les boîtes de courriels et tous les autres actifs informationnels de votre organisation ne sont pas adéquatement protégés, la suite la plus probable du scénario ira comme suit :
1. L’exploitation : comme les cybercriminels peuvent maintenant s’introduire librement et incognito dans vos infrastructures informatiques, ils collectent les informations qui leur permettront d’exploiter leurs vulnérabilités. Ils peuvent déjà, à cette étape, utiliser des logiciels malveillants indétectables « zéro jour ».
2. L’escalade de privilèges : les cybercriminels utilisent différents stratagèmes pour obtenir des privilèges administratifs supplémentaires et ainsi avoir accès à plus de données. Il peut s’agir simplement d’un courriel à un collègue alléguant un oubli de mot de passe (ingénierie sociale).
3. Les mouvements latéraux : une fois qu’ils ont obtenu un accès administratif de plus haut niveau, les cybercriminels se déplacent dans le réseau de l’organisation pour trouver des informations sensibles et élargir leur emprise.
4. L’exfiltration de données : ils téléchargent des dossiers complets, que ce soit des informations personnelles sur les employés municipaux, des documents du bureau du maire, des dossiers juridiques, des documents du service de police ou des échanges de courriels confidentiels. Tout est à leur portée.
5. Le cryptoverrouilleur : au moment opportun, les cybercriminels lancent un cryptoverrouilleur (un logiciel malveillant de type rançongiciel qui cible les informations à haute valeur d’une organisation). Toutes les données de haute valeur sont chiffrées (cryptées) afin de les rendre inaccessibles à leur propriétaire. À cette étape, plus rien ne fonctionne dans vos systèmes informatiques, pas même vos courriels. Les ordinateurs infectés affichent un message selon lequel les données pourront être décryptées moyennant un paiement en cryptomonnaie.
6. La divulgation d’informations sensibles : les pirates vous rappellent qu’ils détiennent également des informations sensibles qu’ils publieront si vous ne payez pas dans le délai exigé. Bien sûr, une grande partie des données d’une municipalité sont confidentielles et, si elles devaient être diffusées, cela pourrait représenter un préjudice sérieux.
Vous me direz que la probabilité qu’un employé clique sur un lien malveillant dépend de plusieurs facteurs. Bien sûr! Selon un rapport1 de 2021, publié conjointement par Terranova et Microsoft, le taux de réussite des courriels d’hameçonnage varie effectivement en fonction, notamment, de la taille de l’organisation, du nombre de services, du choix des victimes et de la qualité des données. Malgré tout, toujours selon ce rapport, le taux de clics sur un lien malveillant est de 19,8 %, soit près d’un employé sur cinq. Cela s’explique par le fait que les courriels d’hameçonnage sont conçus spécifiquement pour inciter leurs destinataires à cliquer sur les liens proposés et, dans le feu de l’action, la propension à faire confiance et les réflexes prennent souvent le dessus sur la vigilance.
FINALEMENT, MON ORGANISATION EST-ELLE À RISQUE?
Si elle n’est pas protégée adéquatement par un système de surveillance 24 h sur 24 et si ses employés ne sont pas formés pour identifier et mitiger les cyberrisques, votre organisation est malheureusement à haut risque, à court ou moyen terme, et ce, peu importe sa taille ou les particularités de sa mission.
Puisque le nombre de campagnes d’hameçonnage ayant atteint les organismes municipaux a augmenté de 13 % de 2021 à 2022, que le risque de déclencher un courriel piégé est de 19,8 %, que la majorité des clics indésirables ne sont pas déclarés aux gestionnaires (permettant aux cybercriminels de s’introduire et de progresser silencieusement dans les infrastructures) et que 91 % des cyberattaques ont comme point de départ un courriel, il est certain que le risque est bien réel pour toutes les organisations municipales.
PROTÉGER SON ORGANISATION OU ASSUMER LE RISQUE?
Selon nos données les plus récentes, le coût moyen pour bien se protéger représente plus ou moins 1/20e d’un point de pourcentage du budget annuel d’exploitation d’une organisation municipale. Même cumulé sur une période de 10 ans, le montant total investi en cybersécurité restera inférieur aux frais immédiats à engager à la suite d’une cyberattaque, qui s’évaluent en moyenne à 835 758 $.
Afin d’aider les municipalités à se protéger contre les cyberattaques, la Fédération québécoise des municipalités (FQM), en collaboration avec le ministère des Affaires municipales et de l’Habitation (MAMH), a mis sur pied un service complet de cybersécurité municipale de haut niveau, accessible à toutes les organisations municipales en tout temps. Plusieurs municipalités de toutes envergures s’en prévalent déjà avec succès!
____________________________________
1 Terranova Security, 2021 Global Phishing Benchmark Report