Si les cybercriminels ont parfois quelques remords à s’attaquer à des établissements de santé, les organisations du secteur social ne bénéficient pas d’une telle pudeur.
Dès 2020, les bailleurs sociaux pouvaient être ciblés par des groupes de rançongiciels. Les attaques informatiques visant le secteur se sont multipliées en France ces deux dernières années. La CAF ainsi que France Travail en ont fait les frais début 2024. Ces incidents ont à chaque fois donné lieu à des fuites de données records.
Surtout, ces organisations sont des cibles de choix pour les cybercriminels. Pourquoi ? Elles ont de nombreuses portes d’entrées pour infiltrer les systèmes.
Sur la période 2023/2024, le centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT-FR) de l’Anssi a accompagné 9 entités du secteur social. Sur cette base, un rapport de l’Anssi met en lumière deux vecteurs de risques :
- Les accès réservés aux acteurs techniques
- Les accès destinés aux usagers applicatifs
Savoir se méfier de ses amis
Le plus critique selon le CERT-FR reste la question des accès ouverts aux acteurs techniques. Il peut s’agir :
- D’employés internes bénéficiant d’accès à haut privilèges
- D’organisations tierces chargées de la sous-traitance de certaines missions
Dans les deux cas, « ces acteurs ont la capacité d’accéder directement à la donnée brute » relève le CERT-FR. De plus, ces accès techniques contournent la plupart du temps la journalisation applicative et les règles de sécurité mises en place pour détecter les fuites de données.
A noter que ces exfiltrations des données ne sont pas toujours malveillantes. Ainsi, la mésaventure de la CAF de Gironde qui, en mars 2021, avait vu un de ses prestataires de formation mettre en ligne une base de données contenant les données confidentielles de 10 000 allocataires. Une simple erreur sans volonté de nuire. Mais le résultat est le même : les données sont exposées et potentiellement accessibles à n’importe qui.
Pour limiter les risques, le CERT-FR recommande d’avoir recours à des données simulées en dehors des environnements de production. Ou bien d’avoir au moins recours à des procédés d’anonymisation ou de pseudonymisation.
Le rapport appelle également à la vigilance sur les accès ouverts aux prestataires et employés bénéficiant de privilèges élevés. Il recommande de veiller à ce que ces accès soient correctement fermés au départ des personnes concernées. Et tout particulièrement « en cas de départ conflictuel. »
Bien sûr, cela n’est pas une spécificité du secteur social. Les employés mécontents sont un risque pour la sécurité informatique de n’importe quelle organisation.
Se doter des bons outils
L’autre risque souligné par le rapport concerne les accès réservés aux usagers applicatifs. Ce terme désigne les personnes ou organisations qui accèdent aux données de l’organisation au travers d’une application dédiée.
On y retrouve donc les usagers, mais aussi des employés et des organisations tierces, qui peuvent parfois accéder à des données d’autres usagers. Le CERT-FR estime que ce risque est moindre que celui lié aux accès techniques. Mais il est bien réel.
A titre d’exemple, on peut rappeler le piratage de France Travail au mois de mars 2024, où des attaques par hameçonnage menées contre des compte d’agents spécifiques de CapEmploi avaient permis aux pirates d’accéder par rebond aux données de 43 millions de bénéficiaires.
Pour parer ce type de tentative, l’effort doit avant tout peser sur les bonnes pratiques de conception et la gestion de l’application. Les auteurs du rapport parlent de conception avec une philosophie de protection des données par défaut. Cela peut se traduire par :
- La mise en place d’une journalisation forte
- La limitation de l’exposition de l’application
- L’instauration de mécanismes spécifiques visant à détecter la modification ou l’exfiltration massive de données au travers de l’application
Si tout va mal, parlez-en (mais pas n’importe comment)
Enfin le CERT-FR rappelle les bonnes pratiques en matière de communication de crise. L’agence a déjà publié plusieurs guides sur le sujet et les recommandations sont ici au diapason :
- Notifier la CNIL
- Évaluer le risque
- Communiquer clairement sur l’attaque dont on a été victime
Le sujet n’est pas à prendre à la légère. Les cybercriminels ne se privent pas eux de communiquer sur leurs attaques. Et de « nombreux experts (souvent auto-proclamés) sont susceptibles de se saisir de l’incident et de contester les propos officiels si ceux-ci s’avèrent imprécis ou erronés » mentionne le rapport.
En d’autre termes, communiquez vite, communiquez bien, sinon d’autres le feront pour vous.