Cybersécurité des villes : l’authentification multi-facteurs ne peut plus être ignorée

mars 2021 par Yannick Hervé, Responsable Avant-Vente Solutions chez Yubico

En février dernier, le président de la République Emmanuel Macron a présenté la stratégie française pour développer le secteur de la cybersécurité, avec notamment pour objectif de renforcer la résilience du secteur public. Au cours de ces derniers mois, de très nombreuses collectivités locales ont été touchées par les cyberattaques, entre Marseille, la Rochelle, Vincennes, ou encore plus récemment la mairie d’Angers et la communauté urbaine Angers Loire Métropole, dont tout le système informatique a été bloqué.

Selon Yannick Hervé, Responsable Avant-Vente Solutions chez Yubico, compte tenu de la quantité et de la sensibilité des données à leur disposition, les organisations du secteur public doivent poursuivre leurs efforts pour faire face aux cybercriminels déterminés :

« Les organismes du secteur public sont particulièrement touchés par l’augmentation des cyberattaques car ils manquent pour la plupart de moyens. Avec la crise liée à la Covid-19, le télétravail s’est développé alors qu’il n’était que peu pratiqué jusqu’ici dans ce secteur. Nous avons en quelque sorte assisté à une révolution. Cette transition a ainsi été synonyme d’opportunités plus nombreuses pour les cybercriminels, car globalement, les collectivités locales n’ont pas des budgets IT très élevés et ne disposent pas des ressources financières et humaines nécessaires pour assurer un niveau de sécurité suffisant.

Les villes et les collectivités ont à leur disposition un très grand nombre de données sensibles, telles que les informations personnelles des citoyens mais aussi celles liées à des échanges entre les établissements d’enseignements, de santé ou encore les autorités. En outre, elles ont d’importantes responsabilités pour faire fonctionner la communauté au quotidien, qui génèrent des données. La sécurité, les transports en commun, l’éducation, en passant par les services financiers, les réseaux d’énergie et d’électricité, et bien d’autres services, sont tous financés et gérés par le secteur public. Bien que ces éléments soient essentiels à la vie telle que nous la connaissons, la quantité d’informations personnelles et sensibles requises pour mener à bien ces opérations essentielles expose les organismes à un risque permanant de compromission.

Dans la plupart des cas, les villes sont la cible d’attaque de phishing et de ransomwares. Face à ces menaces, la dépendance à l’égard d’un nom d’utilisateur et d’un mot de passe pour contrôler l’accès aux systèmes n’est plus suffisante pour tout employé du secteur public, encore moins depuis le développement du télétravail. Si les informations d’accès peuvent être compromises simplement en les demandant par le biais d’une campagne de phishing, un attaquant peut s’emparer des données qu’il veut, quand il le veut. Il peut également utiliser un logiciel malveillant modulaire pour s’étendre d’un point d’entrée initial pour compromettre d’autres systèmes et installer un autre logiciel malveillant pour une attaque ultérieure plus dévastatrice encore. La mise en place de l’authentification multi-facteurs reste aujourd’hui le meilleur rempart pour lutter contre les hackers mais toutes ne se valent pas, l’utilisation dans ce cadre du SMS restant vulnérable aux attaques modernes de phishing et de "man-in-the-middle".

Aujourd’hui, l’une des approches les plus efficaces consiste à utiliser des clés de sécurité matérielles modernes exploitant la cryptographie à clé publique. Cette méthode permet de bénéficier d’une connexion sécurisée sans mot de passe, qui est le Saint Graal de l’authentification. Certaines clés de sécurité offrent une prise en charge multi-protocole, de sorte que les organisations peuvent facilement faire le lien entre les systèmes existants et ceux qui prennent en charge les protocoles d’authentification modernes. Toute approche d’authentification multi-facteurs est préférable à l’inaction, mais il vaut mieux éviter de poursuivre avec des approches qui ont déjà conduit à des compromissions et de s’attendre à un résultat différent alors que nous sommes face à des cybercriminels plus déterminés que jamais. »