Collectivités locales : protégez les données des citoyens en sécurisant votre Active Directory !

Alors que la menace s'intensifie à l'approche des JO de Paris 2024, les collectivités locales doivent impérativement renforcer la sécurité de leur système d'information, à commencer par leur système d'authentification.

L'an dernier, les collectivités territoriales ont été la cible de 187 attaques informatiques. Au total, c’est près de 1 département sur 2 et la quasi-totalité des régions françaises qui ont été touchées, ainsi que de nombreuses communes et intercommunalités. Des organisations qui intéressent particulièrement les cybercriminels puisqu’elles détiennent des données sensibles, celles des citoyens. Alors que la menace s’intensifie à l’approche des Jeux Olympiques et Paralympiques de Paris 2024, les collectivités locales doivent impérativement renforcer la sécurité de leur système d'information (SI), à commencer par leur système d’authentification qui en gère les accès : l’Active Directory. Ce dernier est, en effet, impliqué dans 9 attaques sur 10.

Les collectivités : une cible de choix pour les pirates

Lors de la précédente édition des Jeux Olympiques, en 2021, 450 millions de cyberattaques avaient été recensées. Pour Paris 2024, les organisateurs s’attendent à un nombre 8 fois supérieur, dans un contexte géopolitique particulièrement tendu**. Tous les acteurs français vont se retrouver sous le feu des projecteurs. Les collectivités locales, en particulier, offrent une cible de choix : elles détiennent de nombreuses données personnelles et/ou stratégiques que les pirates peuvent exfiltrer et monnayer, voire utiliser à des fins de déstabilisation.

Leurs systèmes d’information s’avèrent, de plus, souvent vieillissants ; les budgets des collectivités rivalisant rarement avec ceux des entreprises privées. Pour cette même raison, elles peinent à attirer en interne des experts pointus, alors que le secteur IT est confronté à la pénurie de talents, et que les attaques, elles, sont de plus en plus sophistiquées.

L’Active Directory : la clé d’entrée du royaume

Néanmoins, bien conscientes du danger, les collectivités s’équipent de solutions de cybersécurité de plus en plus perfectionnées. Seulement, comme beaucoup d’autres acteurs, elles négligent l’Active Directory ou AD, qui constitue pourtant la principale porte d’entrée de leur système d’information. À la différence de Word, Teams, Outlook ou Excel, ce composant de Microsoft est souvent invisible aux yeux des directeurs généraux. Or, il joue un rôle fondamental : celui de gérer les systèmes d’authentification donnant accès à toutes les applications. Le laisser sans surveillance ou sans protection adaptée, est aussi grave que d’oublier de fermer à clé la porte de son propre domicile ! Le danger est d’autant plus grand qu’il s’agit d’une technologie vieillissante, conçue il y a plus de 20 ans et donc facile à compromettre.

Une fois l’AD piraté, c’est une véritable boîte de Pandore qui s’ouvre aux attaquants : applications métiers, bureautique, serveurs de messagerie... La moindre attaque peut mettre à l’arrêt les services publics pour plusieurs semaines, voire plusieurs mois. Prestations sociales, démarches d’urbanisme ou d’état-civil : tous les services sont paralysés, mettant en danger la relation de proximité avec les usagers. Le risque est tel que Gartner en a même fait une catégorie à part entière, l’ITDR ou Identity Threat Detection and Response***.

Remettre l’Active Directory au centre des Plans de Continuité et de Reprise d’Activité

Pour anticiper ce risque majeur, les collectivités doivent mettre l’AD au cœur de leur politique cyber. Pour commencer, elles doivent effectuer des audits réguliers afin de réduire la surface d’attaque. Une bonne façon de fermer les portes en amont, d’autant que des outils dédiés et gratuits existent comme ORADAD, mis à disposition de toutes les structures publiques par l’ANSSI, mais aussi d’autres solutions, en libre accès également, proposées par des acteurs privés.

Avant une attaque potentielle, il est aussi essentiel de repérer très tôt la présence des cybercriminels. Leurs phases de reconnaissance durent en effet plusieurs semaines. Le jour J, l’attaque est ensuite déclenchée en quelques minutes, laissant peu de temps aux organisations pour réagir. Afin d’éviter qu’il ne soit trop tard, il est fortement recommandé aux collectivités de s’équiper de solutions de monitoring, capables de déployer des réponses automatisées face à la moindre action suspecte.

Enfin, une fois l’attaque survenue, l’enjeu principal est de rétablir le service aux usagers. La procédure de reconstruction, chronophage, comprend 28 étapes : un cauchemar pour des non-spécialistes de l’AD ! Des solutions ciblées de Disaster Recovery seront alors d’un grand secours, permettant d’effectuer ces opérations dans des temps records. Certaines sont dorénavant disponibles sur les plates-formes d’achat publiques, à la portée des DSI et des DG. Ces derniers doivent s’en emparer s’ils veulent mettre à l’abri leur collectivité et garantir aux citoyens la continuité du service public.

*Anssi, Synthèse de la menace ciblant les collectivités territoriales, 23 octobre 2023 (nombre d’attaques entre janvier 2022 et juin 2023)

** Déclaration de Bruno Marie-Rose, ancien sprinteur et directeur de la technologie, Le Point, 12 juillet 2023

*** Détection et gestion des menaces sur l’identité.