Guide de la Cnil : comment aider les collectivités territoriales à renforcer leur posture de cybersécurité ?

0
181

Le premier semestre 2022 a vu une explosion des cyberattaques dirigées contre les organismes du service public, les centres hospitaliers et autres établissements de santé publique français.

Tribune – La Cnil a reçu 5 000 notifications de violation de données en 2021 et vient de publier un guide à destination des élus locaux et des agents territoriaux pour leur rappeler leurs obligations et responsabilités en matière de cybersécurité.

Comment aider les collectivités territoriales à renforcer leur posture de cybersécurité ? Dans un contexte de transition numérique accélérée, comment protéger les données sensibles des Français ? Quels sont les principes de bases pouvant être mis en œuvre pour faire face aux cyberattaques par ransomwares ?

Pour Brian Spanwick, expert en cybersécurité des infrastructures critiques et RSSI chez Cohesity, leader de la gestion de données nouvelle génération :

« les organisations ont tendance à mettre principalement l’accent sur la prévention en matière de sécurité, ce qui est essentiel pour atténuer les risques d’intrusions malveillantes. Mais qui n’est plus suffisant. Le but est de rendre aussi difficile que possible l’accès aux systèmes d’information et aux environnements critiques. Et surtout, de pouvoir récupérer rapidement les données perdues à partir d’une sauvegarde. Il est également essentiel que les équipes IT et les Responsables de la Sécurité des Systèmes Informatiques (RSSI) travaillent en étroite collaboration, car il ne s’agit pas seulement d’un problème de sécurité ou d’un problème informatique, mais des deux. »

Selon lui, les principes de base à mettre en place sont les suivants :

  • Prenez connaissance de vos actifs et de vos données les plus sensibles
  • Corrigez les systèmes, modifiez les codes sources, faites les mises à jour essentielles
  • Segmentez votre réseau
  • Utilisez un processus d’authentification multi facteur
  • Appliquez le contrôle d’accès utilisateur
  • Éduquez les utilisateurs
  • Procédez à des simulations de reprise après sinistre régulièrement et dans des conditions réelles

Dans son Panorama de la Menace Informatique, l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) faisait état d’une hausse de 37 % du nombre d’intrusions malveillantes signalées au cours de l’année 2021 — la plupart ayant conduit à des demandes de rançons pour récupérer et déchiffrer les données volées.

En 2021, plus d’un million de données provenant de tests Covid ont été volées et 500 000 dossiers médicaux ont été dérobées et vendues sur le marché noir. Cette année-là, une recrudescence des cyberattaques visant les établissements de santé publique a été observée, avec plus de 730 signalements d’incidents en 2021, contre 369 en 2020, selon l’ARS et le GCS SARA (Groupement de coopération sanitaire système d’information santé en Auvergne-Rhône-Alpes).

Les collectivités territoriales et organismes de santé publique sont une cible de choix pour les cybercriminels, en particulier avec la numérisation croissante des données des citoyens et l’évolution de l’UE vers un marché unifié pour l’échange de données de santé (EHDS).

Les hôpitaux continuent d’être la cible d’attaques par ransomware (un autre cas était signalé à la fin du mois d’avril) et les organisations publiques seront de plus en plus responsables de la protection de leurs données, certaines d’entre elles étant déjà condamnées à une amende de la Cnil pour leur manque de mesures de cybersécurité appropriées. La Cnil a par ailleurs publié un guide à destination des élus locaux et des agents territoriaux pour leur rappeler leurs obligations et responsabilités en matière de cybersécurité.

Ces exemples récents montrent que les attaques par ransomwares peuvent prendre de
nombreuses formes.

Les différents types d’attaques par ransomware

La méthode Ransomware 1.0 est la plus courante — un type d’attaque assez peu sophistiqué qui peut généralement être traité par des solutions de sauvegarde et de récupération traditionnelles.

En passant à Ransomware 2.0, les attaquants ont d’abord commencé à détruire les sauvegardes, puis à chiffrer les données de production. Ce type d’attaque est conçu pour rendre incroyablement difficile la restauration des données perdues, et il n’y a presque aucun recours pour les récupérer, sauf de payer la rançon.

Enfin, et plus récemment avec Ransomware 3.0, les cybercriminels se concentrent sur le chiffrage et l’exfiltration, ou le vol, de données pour les exposer ou les vendre illégalement dans le cadre de stratagèmes de « double extorsion ». Une cyberattaque ne compromet pas seulement vos données, mais elle peut causer des dommages durables pour la réputation de votre entreprise.

Par où commencer ?

Les organisations ont tendance à mettre principalement l’accent sur la prévention en matière de sécurité, ce qui est essentiel pour atténuer les risques d’intrusions malveillantes. Mais qui n’est plus suffisant. Il est primordial de se concentrer sur la protection, la détection et la récupération des données, afin de minimiser l’impact d’une attaque lorsque celle-ci est avérée.

Le but est de rendre aussi difficile que possible l’accès aux systèmes d’information et aux environnements critiques. Et surtout, de pouvoir récupérer rapidement les données perdues à partir d’une sauvegarde. Il est également essentiel que les équipes IT et les Responsables de la Sécurité des Systèmes Informatiques (RSSI) travaillent en étroite collaboration, car il ne s’agit pas seulement d’un problème de sécurité ou d’un problème informatique, mais des deux.

Voici les principes de base à considérer :

  • Prenez connaissance de vos actifs et de vos données les plus sensibles
  • Corrigez les systèmes, modifiez les codes sources, faites les mises à jour essentielles
  • Segmentez votre réseau
  • Utilisez un processus d’authentification multi facteur
  • Appliquez le contrôle d’accès utilisateur
  • Éduquez les utilisateurs
  • Procédez à des simulations de reprise après sinistre régulièrement et dans des
    conditions réelles

Vers une gestion des données de nouvelle génération

Bien que les principes fondamentaux décrits ci-dessus soient déterminant pour améliorer la posture de cybersécurité des organisations, ce n’est que la première étape. Ces mesures doivent être accompagnées de capacités de gestion des données de nouvelle génération qui contribuent à assurer une cyber-résilience exceptionnelle — essentielle pour la santé de votre entreprise et son maintien dans un environnement économique et numérique complexe.

Les plates-formes de gestion de données de nouvelle génération peuvent aider les clients à y parvenir de trois manières :

  • Protéger — Protégez et défendez vos données de sauvegarde contre la prise en otage grâce à une architecture résiliente, notamment des instantanés de sauvegarde immuables, des algorithmes de chiffrement robustes, une isolation des données hors site basée sur le cloud, un codage d’effacement et la technologie WORM.
  • Détecter — Minimisez le risque d’exfiltration de données grâce à la détection précoce des attaques de ransomware. Détectez et identifiez les anomalies en temps quasi réel grâce à la détection basée sur l’IA.
  • Répondre — avec une restauration rapide automatisée — essentielle pour restaurer les services et atteindre les objectifs de point de récupération (RPO) et de temps de récupération (RTO) agressifs — qui sont la quantité de temps d’arrêt qu’une entreprise peut tolérer et à partir de quel moment. La vitesse, l’évolutivité et des performances fiables sont obligatoires pour récupérer des milliers de systèmes en quelques heures et quelques jours — et non des semaines ou des mois, ce qui est souvent la norme de l’industrie de nos jours.

L’amélioration d’une stratégie de sécurité axée sur la prévention par une approche de nouvelle génération de la gestion des données, qui met également l’accent sur la protection, la détection et la réponse, aidera les organisations qui gèrent des infrastructures critiques à atténuer l’impact des violations.

Renforcer la cyber-résilience en renforçant la collaboration interne

Afin de réaliser le plein potentiel de la technologie, les équipes des entreprises responsables de la sécurisation, de la protection et de la gestion des données doivent mieux travailler ensemble. Traditionnellement, les équipes IT sont concentrées sur la sauvegarde et la protection des données, et les RSSI sont centrés sur la prévention. Les deux fonctions sont fondamentales pour renforcer la cyber-résilience de l’entreprise et assurer la continuité des activités en cas d’attaques, mais trop souvent, ces groupes opèrent de manière décorrélée.

Mieux aligner les fonctions internes à l’entreprise permet d’améliorer leur capacité à limiter l’impact des cyberattaques et à remettre rapidement les systèmes de base en service. Les deux fonctions doivent maintenant travailler main dans la main pour s’assurer que la stratégie de l’entreprise en termes de cybersécurité soit réellement effective.