Les attaques par Ransomwares se multiplient en France. Interrogé par le Sénat, Guillaume Poupard a fait un point sur la situation…

Scutum, Sopra Steria, la mairie de Vincennes, la mairie d’Alfortville, Software AG, le groupe ENEL… En France comme partout en Europe, de grandes entreprises et des organisations d’États voient leur activité très perturbée durant de nombreux jours suite à des attaques par ransomware.
Une situation qui inquiète bien évidemment les pouvoirs publics. La semaine dernière, la commission des Affaires étrangères, de la défense et des forces armées du Sénat a auditionné Guillaume Poupard, le directeur de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information).

« La criminalité organisée s’est emparée de l’outil cyber pour rançonner ses victimes » a ainsi expliqué Guillaume Poupard aux sénateurs notant une explosion de la grande criminalité et des attaques par Ransomware. L’ANSSI n’intervient que sur les événements ayant un impact fort en termes de sécurité nationale ou en termes économiques. Mais Guillaume Poupard constate qu’ « on était à 54 attaques fin 2019 et on en dénombrait 128 au 30 septembre de cette année. En l’espace d’un an, il y a une multiplication par trois ou quatre à périmètre constant, donc c’est quelque chose de particulièrement inquiétant.Et je ne vois pas de raison que cela s’infléchisse à court terme. »

Le schéma est toujours le même : une attaque (souvent par Phishing) menant à une intrusion informatique suivie d’un blocage par chiffrement des données des victimes et d’un chantage pour débloquer la situation. Des rançons qui coûtent cher : « On parle en millions ou en dizaine de millions d’euros aujourd’hui » constate Guillaume Poupard.

En septembre, une patiente en Allemagne est décédée parce que l’opération vitale qu’elle devait subir n’a pu avoir lieu suite à une paralysie de l’informatique de l’hôpital universitaire de Dusseldorf engendrée par un ransomware.
Fin septembre, le géant hospitalier UHS (Universal Health Services) a lui aussi été victime des effets perturbateurs d’un rançongiciel.
Fin octobre, le FBI a publié une alerte affirmant disposer d’informations concrètes autour d’une préparation d’une vague d’attaques par ransomware contre le système hospitalier et les acteurs américains de la santé.

Interrogé sur ces événements en pleine crise sanitaire et sur les attaques menées contre les hôpitaux français, Guillaume Poupard a précisé que « les attaques n’ont pas explosé, elles n’ont pas augmenté en quantité ou en virulence » avant d’ajouter que « les grands groupes criminels ont fait un communiqué de presse, au début de la crise, pour dire que, temporairement, ils suspendaient les attaques contre les hôpitaux (…) et de fait ils s’y sont tenus. ». Les grands groupes peut-être, mais à en juger par les événements en Allemagne et aux US, certains groupes n’ont pas eu de scrupules.
Il note par ailleurs que les attaques ne cherchent plus à « ratisser large » mais sont de plus en plus ciblées et vise d’abord « des victimes sous tension et qui ont les moyens de payer ».

Il a, au passage, pris la défense de Sopra Steria, les donnant même en exemple d’entreprises ayant su réagir vite et ayant réussi à limiter les impacts de l’attaque par ransomware dont ils ont été victimes : « Ils ont été capables de détecter très tôt l’attaque qui n’a touché que quelques dizaines d’ordinateurs et de la bloquer. Ils ont été prudents en éteignant intégralement de grands systèmes pour ne pas faciliter son expansion et contaminer leurs clients ». Guillaume Poupard note également que chez certaines victimes très impactées par des ransomwares en 2020 « on arrive aujourd’hui avec des prestataires privés intégrés dans l’équation à réparer les systèmes en l’espace de quelques jours, quelques semaines au plus pour un redémarrage complet là où nous parlions il y a encore un an en semaines et en mois ».

En revanche, Guillaume Poupard n’a pas caché ses inquiétudes quant aux risques supplémentaires engendrés par le télétravail « On est quand même assez inquiet sur toutes les brèches que la pratique accélérée du télétravail a pu ouvrir dans les systèmes d’information. Le risque est que l’on s’en rende compte dans quelques mois », pointe Guillaume Poupard. Avant d’encourager les entreprises à mettre en place davantage de contrôle et surveillance autour des accès ouverts pour permettre les pratiques à distance.