SIGMAG - N°39 - Décembre 2023 - 15

ENQUÊTE
CARTOGRAPHIER LE CYBERCRIME
En exploitant les données recueillies
par les organismes chargés de suivre
la cybercriminalité, les SIG peuvent
aider à localiser l'origine des attaques
et les cor réler avec des données
comportementales pour identifier des
schémas et les foyers potentiels. Dans
une Stor ymap « The Geography of
Cybercrime » publiée en novembre 2023,
Kaya Oro Martin, étudiante à l'université
de Colombie-Britannique au Canada,
montre ainsi comment exploiter les
adresses IP bloquées par les Firewalls
pour les comparer avec plusieurs
sources issues de l 'At las mondial
d'ArcGIS Online. En Arabie Saoudite, des
chercheurs de l'Université Arabe Naïf
pour les Sciences de la Sécurité (NAUSS)
ont publié une étude qui démontre tout
l'intérêt de la plate-forme ArcGIS pour
représenter et suivre ces attaques sous
forme de graphe et aussi de tableau
de bord. De fait, dans le monde obscur
de la cybercriminalité, les acteurs sont
très nombreux, parfois très spécialisés.
« Il y a ceux qui trouvent les failles, qui
vendent des listes, qui développent
des logiciels spécifiques et enfin les
franchisés qui louent les services, détaille
Thomas Lejars, co-fondateur de Galigéo
et plus récemment de ZYGON, une
société spécialisée dans la sécurité des
SaaS. On compte aussi des hébergeurs
qui stockent les contenus malveillants,
parfois sans le savoir. Armés de toutes
ces ressources, lancer des attaques
devient presque aussi simple qu'envoyer
une campagne d'e-mails ».
NUL N'EST À L'ABRI
Face à cette industrie du cybercrime, il
faut se garder de penser que seules les
grosses structures sont menacées, car
tout le monde est susceptible d'être
impacté. «Il y a deux types d'attaques,
ciblées ou aléatoires, rappelle Thomas
Lejars. Les premières vont se focaliser
sur un site, pour des questions d'ordre
économique ou stratégique. Mais dans
le second cas, peu importe la taille de
l'organisme, il suffit d'être sur un point de
passage, si une vulnérabilité se présente,
l 'at taque sera menée de manière
systématique ». Nul n'est à l'abri et la
question qu'il faut malheureusement
se poser n'est pas « est-ce que je serai
attaqué ? », mais plutôt « quand ? ».
Dans une StoryMap publiée en juin 2023,
Cédric Grenet, Directeur du Numérique
et des Systèmes d'Information de Caux
Seine Agglomération a dressé le retour
d'une cybercrise dans la commune
Cartographie des
cyberattaques sur
les collectivités
locales et
territoriales au
cours de la période
2019-2022. Source :
association DECLIC.
Dans le Loiret, c'est ce 5 novembre 2023 que des pirates ont réussi à s'introduire
dans le SI du Département et du SDIS, y changer des mots de passe ADministrateur
et crypter des données sur des serveurs ou sur des machines (200 à 250 postes).
Xavier Gambillon, responsable du service Aménagement Numérique et SIG résume
les dégâts. « Sur les données géomatiques, ce sont près de 600.000 fichiers
impactés, parfois issus de traitements qu'il faudra reprendre... Sachant que plus
de 1.000 utilisateurs en interne et externe, des communes ou EPCI dépendent de la
plate-forme GéoLoiret pour gérer l'urbanisme, les réseaux... » Avec l'aide d'Orange
Cyber Défense et d'Esri France pour la partie SIG, le Département a entrepris
de remonter le système d'information. « L'urgence a été
de relancer tout ce qui concerne les fonctions comme la
messagerie et secteurs clés tel que le Social. Pour éviter
des drames, il a fallu reprendre des procédures papier »,
explique Xavier Gambillon. Les postes bureautiques ArcGIS
Pro permettent de reprendre certaines opérations en
attendant le redémarrage de la plate-forme SIG, intervenu
4 semaines après le déclenchement de cette attaque !
« La procédure pour la remontée des services nécessite
un changement de tous les comptes AD, dont certains ont
été compromis. Plus la plate-forme est complexe, plus il
faut redoubler de précautions, vérifier tous les points de
fragilité pour améliorer la sécurité ».
Au Conseil Départemental des Alpes Maritimes, la
cyberattaque a été déclenchée le 10 novembre 2022,
avec piratage et cryptage de plusieurs serveurs.
« Heureusement, seuls les fichiers ont été piratés, mais les
bases de données n'ont pas été touchées, relate Michel
Moureaux, Responsable de la Sécurité des Systèmes
d'Information. Nous avons pu engager rapidement la
reconstruction du SI avec une reprise d'activité progressive sur deux mois ». De
nouvelles procédures ont été établies et les règles de gestion durcies, en particulier
pour les administrateurs de données. La relance des services en ligne a été plus
lente, comme l'explique Gabriel Vatin, Chef de projet Géomatique 3D : « il a fallu
mener un énorme travail d'analyse sur les flux pour savoir comment tout sécuriser,
nos habitudes de travail ont beaucoup changé. Par exemple, pour la connexion
en mise à jour aux bases de données, il nous faut passer par un serveur dédié et
sécurisé alors que nous avions un accès direct. Il y a aussi plus d'échanges avec les
administrateurs système et cela impacte la manière de publier, d'archiver... »
15
SIGMAG
DEUX DÉPARTEMENTS
DANS LA « CYBER TOURMENTE »

SIGMAG - N°39 - Décembre 2023

Table des matières de la publication SIGMAG - N°39 - Décembre 2023