Des cybercriminels ont réussi en septembre dernier à s’introduire dans le système d’information de la collectivité caennaise. Ils ont toutefois échoué leur tentative de chiffrement et très vraisemblablement de vol de données. Les suites d’un démonstrateur ont permis à la municipalité de déceler les débuts de l’éventuelle intégration d’un logiciel d’extorsion.
Le 26 septembre 2022, deux alertes de piratage ont été déclarées à la mairie caennaise. Le responsable de la sécurité des systèmes d'information (RSSI), David Cauvin, les a détectées précisément à 15 h 50. Il examinait à cet instant la console de l’application EDR (détection et réponse) sur les hôtes du système d’information.
Ces dernières années, les collectivités territoriales sont devenues les cibles privilégiées des hackers. D’où l’intérêt pour elles d’améliorer régulièrement leur protection.
Dans cette démarche, elles peuvent solliciter l’accompagnement d’un consultant cybersécurité.
Ce professionnel évalue les risques auxquels une organisation est exposée. Puis il leur suggère des solutions personnalisées et appropriées à leurs attentes et besoins.
Des machines étaient placées sous surveillance
L’une des alertes a concerné un contrôleur de domaine des services AD (Active Directory). L’autre a, quant à elle, été identifiée sur le serveur de messagerie Exchange. Dans les deux cas, l’existence d’une balise Cobalt Strike a été annoncée.
Immédiatement après leur découverte, David Cauvin a avisé HarfangLab, l’éditeur de la solution EDR . La cyberattaque a ensuite été entièrement qualifiée, puis éliminée en moins de cinq minutes. À ce stade, il semble peu plausible que les cybercriminels aient pu voler des informations . La municipalité s’est révélée chanceuse.
Pour expliquer ce concours de circonstances favorables, il faut revenir en juin 2022. Caen était arrivée à la fin d’une présentation avec HarfangLab. L’ EDR a prouvé ses aptitudes, y compris face à un laboratoire de menaces construit au sein même de la mairie . Les problèmes de déploiement rencontrés au départ ont été résolus et le développeur a démontré sa capacité d’adaptation et d’écoute.
Les formalités administratives du secteur public ont mis la contractualisation du projet en suspens. Toutefois, l’éditeur a fait preuve de compréhension et a continué à assurer le contrôle de quelques dizaines d’appareils .
La collectivité prépare une PSSI ambitieuse
Malencontreusement, Caen a instauré en septembre dernier une nouvelle architecture pour l’accès réseau externe. Cette modification a rompu les liens entre le Cloud d’HarfangLab et plusieurs hôtes. Une dizaine d’appareils est effectivement restée sous surveillance. Ce nombre a suffi pour couvrir les hôtes les plus importants de l’écosystème .
Depuis cette cyberattaque, la start-up a mobilisé quelque 2 000 agents de son EDR. Ils sont prêts à intervenir si des pirates visent à nouveau la collectivité dans le futur. Concernant les détails de la réponse à l’intrusion, les équipes de Caen l’ont réglée en mode gestion de crise. La situation était effectivement critique, les balises Cobalt Strike permettant à une personne malveillante :
- Soit de prendre entièrement le contrôle des appareils où elles ont été déployées ;
- Soit d’interagir avec ces terminaux.
Elle aurait pu alors installer et déclencher un logiciel d’extorsion sur chaque machine connectée au contrôleur de domaine de l’AD.
Pour affermir la culture de la sécurité informatique à Caen, et au-delà, David Cauvin, a élaboré une stratégie ambitieuse. Il a conçu une politique de sécurité des systèmes d’information (PSSI) fondée sur ISO 27001. La collectivité a accepté le schéma directeur du plan. La direction des systèmes d’information a déjà commencé à l’examiner.