Quantcast

Un ministère mobilisé contre les piratages informatiques

19 mars 2014, PAR Raphaël Moreaux
  • 04
    MIN
  • 0

© Vidal/Isopress/SIPA

Victime d’une cyberattaque qui a touché les sites Web des agences régionales de santé (ARS) en début d’année, le ministère des Affaires sociales et de la Santé s’organise pour prévenir de nouvelles intrusions dans ses systèmes d’information. 


Les cyberattaques ne prennent pas de vacances. Le directeur des systèmes d’information (DSI) des ministères sociaux, Nicolas Tissot, a pu l’expérimenter aux premiers jours de l’année 2014. En arrivant à son bureau le 2 janvier, cet ingénieur des Mines est alerté sur sa boîte mail par un bulletin de l’Agence nationale de la sécurité des systèmes d’information (Anssi) : le système de veille et d’alerte de l’agence a détecté pendant la nuit précédente une intrusion dans l’un des serveurs du ministère des Affaires sociales et de la Santé. Les 26 sites Internet des agences régionales de santé (ARS) ont été défigurés. Leur page d’accueil habituelle laisse place à des slogans évoquant l’ancien conflit franco-algérien.

« La procédure de sécurité a été immédiatement enclenchée », raconte Nicolas Tissot. Le responsable de la sécurité des systèmes d’information (RSSI) est chargé de mettre hors service les sites touchés. Les pages Web piratées sont remplacées par un message informant les internautes que des « opérations de maintenance sont en cours ». En parallèle, les disques durs hébergeant les données du serveur sont envoyés à l’Anssi, qui centralise l’action étatique en matière de cybersécurité. « Ils ont des outils perfectionnés qui permettent de récupérer des données effacées, de retracer le parcours du pirate », explique Nicolas Tissot.

Négligence

Huit jours seront nécessaires aux équipes du ministère pour réinstaller un nouveau serveur. « Nous avons dû restaurer les données à une date antérieure  à l’attaque, réinitialiser l’ensemble des mots de passe et prendre des mesures de sécurité supplémentaires pour s’assurer qu’un tel incident ne se reproduise plus », justifie le DSI. En cause, l’un des modules additionnels qui permet d’ajouter des fonctionnalités au site (gestionnaires de documents, de calendrier, etc.) et qui n’était pas utilisé dans le cas des ARS. Il était pourtant toujours activé. « Une négligence, reconnaît Nicolas Tissot, le module contenait une faille de sécurité que le pirate a exploitée. »

Contacté par Acteurs publics, celui qui se présente comme l’auteur du piratage affirme ne disposer d’aucune compétence informatique particulière. Il est fier d’afficher sur Internet son « tableau de chasse » : avant d’attaquer les ARS, il avait « hacké » le site du ministère de la Défense et celui de la Justice. « Cela a été relativement facile, explique-t-il. Il est possible de trouver sur Internet tout ce qu’il vous faut comme conseils pour le piratage. »

Des propos nuancés par Nicolas Tissot : si le niveau de sécurité du site était plus faible, c’est qu’il s’agissait d’une plate-forme publique d’information ne contenant aucune donnée confidentielle, à la différence d’un réseau interne. « Notre rôle est d’adapter le niveau de sécurité aux risques encourus. Cela peut coûter d’une dizaine de milliers d’euros à plusieurs millions. Ici, l’investissement était plus limité car le risque se situait uniquement en termes d’image », souligne celui qui planche actuellement à la fusion des systèmes d’information des ministères de la Santé et de l’Emploi, afin de réduire les risques.

Nombreuses attaques

Le DSI reconnaît toutefois que « les sites gouvernementaux sont victimes de cyberattaques en permanence ». Si la grande majorité d’entre elles ne présente aucun danger, « le risque zéro n’existe pas », admet-il. Un point de vue partagé par Damien Bancal, spécialiste en cybercriminalité, du site Zataz.com. « Je recense plusieurs dizaines d’attaques par jour contre des sites officiels, des attaques sur lesquelles les administrations se gardent bien de communiquer car elles ont peur d’alimenter la psychose », tacle-t-il. Peut-être est-ce pour cela que l’Anssi n’a pas n'a pas donné suite aux questions d’Acteurs publics sur sa collaboration avec les ministères sociaux…

« À partir du moment où l’on communique autour d’un piratage, on subit dans la foulée des attaques encore plus importantes », justifie Nicolas Tissot, qui a constaté ce phénomène à la réouverture des sites du ministère de la Santé. « On a en revanche un devoir d’information en cas de vol de données sensibles », ajoute-t-il. Selon lui, en plus de veiller aux systèmes informatiques, il faut prendre en compte le facteur humain. « Le comportement des agents influe directement sur notre sécurité », fait-il valoir. Des formations pour sensibiliser l’ensemble des fonctionnaires du ministère sont prévues cette année. Le blocage des sites des ARS restera comme un mauvais souvenir pour le DSI, qui relativise son importance : « Nous n’avons pas subi d’attaque plus grave que celle-ci, mais le principe d’une attaque réussie, c’est qu’elle ne se détecte pas. » Pas franchement rassurant !