Défendez-vous contre les rançongiciels dans le secteur public

Renforcer la sécurité avec les personnes, les processus et la technologie

Les attaques par rançongiciels sur les organisations du secteur public sont en augmentation, ce qui perturbe des services essentiels pour des millions de personnes. Et les stratégies traditionnelles de cybersécurité ne suffisent pas pour garantir une défense contre les dernières tactiques.

Selon un rapport de 2024, les incidents de rançongiciels dans le secteur public américain ont augmenté de plus de 94 % depuis 2021. Les agences gouvernementales ont subi à elles seules 117 attaques par rançongiciel en 2024, contre 95 en 2023 (soit une augmentation de 23 %). Un rapport mondial de 2025 montre que les attaques par rançongiciel contre les gouvernements ont augmenté de 65 % au premier semestre 2025 par rapport à la même période en 2024.

Les attaques contre les administrations nationales et locales ont un impact direct et immédiat sur les personnes en raison de la perturbation des opérations gouvernementales essentielles, y compris les centres d'appel d'urgence 911, les bureaux du shérif, les cliniques de santé et les services publics. Ces événements exposent souvent des informations sensibles et laissent des individus vulnérables à la fraude pendant des années à venir. Et ils peuvent impliquer des dépenses publiques considérables pour récupérer les systèmes et les données, même si les agences gouvernementales refusent de payer la rançon.

Deux incidents récents illustrent les coûts élevés des attaques par rançongiciel :

• Columbus, dans l'Ohio, a refusé de payer une demande de rançongiciel de 1,9 million de dollars en 2024 mais a dépensé plus de 4 millions de dollars pour protéger et restaurer l'infrastructure technologique de la ville.

• La ville de Dallas, Texas, a payé 8,5 millions de dollars en coûts liés aux rançongiciels en 2023.

Les changements dans les tactiques et techniques des rançongiciels renforcent l'impératif de renforcer les défenses contre les rançongiciels. À mesure que les cybercriminels exploiteront de nouveaux outils, leurs attaques deviendront encore plus efficaces et donneront lieu à des répercussions encore plus importantes. Par exemple, ils utilisent l'IA pour créer des messages de phishing plus convaincants, développer des logiciels malveillants qui échappent aux défenses, identifier des données précieuses à exfiltrer et produire des attaques de plus grande envergure. Parallèlement, de petits groupes de cybercriminels se tournent vers des organisations de rançongiciels en tant que service pour lancer des attaques rapidement et à moindre coût.

Les cybercriminels ajoutent également de nouvelles couches à leurs stratagèmes de rançongiciels. Jusqu'à récemment, la plupart des attaquants chiffraient des données sensibles et exigeaient une rançon en échange d'une clé de déchiffrement. Aujourd'hui, des attaquants exfiltrent des données et menacent de les divulguer si la rançon n'est pas payée. Ils savent qu'ils peuvent vendre des données volées si les négociations de rançon échouent.

Nous avons observé ce type de tactique lors de l'attaque RansomHub contre le département de la santé de Floride en juillet 2024. L'agence n'a pas payé la rançon, donc les cybercriminels ont divulgué 100 Go de données, y compris des numéros de sécurité sociale, des informations de carte de crédit, des données médicales et plus encore, pour près de 730 000 personnes.

Compte tenu de l'évolution des attaques par rançongiciels et des conséquences potentiellement dévastatrices de chaque événement, les agences gouvernementales doivent dépasser les stratégies de sécurité traditionnelles. La sauvegarde des données ne peut plus être le seul moyen d'empêcher que des informations soient prises en otage.

Pour faciliter la transition vers une protection plus robuste contre les rançongiciels, le National Institute of Standards and Technology (NIST) a créé un cadre de cybersécurité pour les rançongiciels, et le Département de la sécurité intérieure (DHS) a publié un guide complet pour aider les organisations à stopper les rançongiciels. Ces recommandations insistent sur le fait que les administrations nationales et collectivités locales ont besoin d'une solution plus exhaustive et proactive, une solution qui implique des changements tant au niveau des personnes, que des processus et de la technologie.

Personnel : Renforcer la première ligne de défense

Avant d'ajouter des technologies avancées, les équipes de sécurité doivent se concentrer sur la cyberhygiène ou, comme le déclare le DHS, devenir « brillants dans les fondamentaux ». Plus précisément, elles doivent mettre en œuvre trois pratiques recommandées pour empêcher tout accès non autorisé aux réseaux :

• Former les membres de l'équipe : le phishing, le smishing et d'autres tactiques d'ingénierie sociale sont souvent à l'origine des incidents liés aux rançongiciels. Et les outils d'IA facilitent la tâche des attaquants qui cherchent à créer des messages convaincants capables de tromper les employés en les incitant à cliquer sur des liens usurpés et à entrer leurs identifiants de connexion. Une fois que les attaquants ont ces identifiants, ils peuvent injecter un rançongiciel dans le réseau.
  
  Les employés sont la première ligne de défense, et les agences doivent les former pour qu'ils sachent comment repérer les e-mails et les SMS frauduleux. Les équipes de sécurité doivent continuellement mettre à jour cette formation au fur et à mesure de l'évolution des tactiques.

• Exiger des mots de passe forts et la MFA : parallèlement, les agences doivent exiger de leurs employés qu'ils utilisent des mots de passe forts et uniques, difficiles à deviner par les méthodes de force brute (même à l'aide d'outils d'IA) et impossibles à réutiliser dans plusieurs applications.
  
  L'authentification multifacteur (MFA) offre une couche de protection supplémentaire. Même si des cybercriminels volent des identifiants, la MFA les empêchera d'accéder aux applications critiques.

• Empêcher les téléchargements malveillants : même les employés ayant une grande conscience de la sécurité peuvent par inadvertance cliquer sur un lien qui les dirige vers un site compromis ou déclenche un téléchargement malveillant. Les agences doivent protéger l'expérience de navigation sur le web en inspectant et en filtrant le trafic Internet pour empêcher les utilisateurs d'atteindre des destinations malveillantes.

Processus : gardez une longueur d'avance sur l'évolution des tactiques des rançongiciels

De nombreuses agences doivent examiner les processus existants (ou en mettre en œuvre de nouveaux) afin de s'assurer qu'elles font tout ce qui est en leur pouvoir pour remédier aux vulnérabilités existantes et aux tactiques changeantes.

• Mettre à jour les logiciels et les micrologiciels : l'exploitation des logiciels et appareils non corrigés et obsolètes est devenue une tactique de choix pour les cybercriminels. En fait, les vulnérabilités logicielles, ainsi que les identifiants compromis, sont les vecteurs initiaux d'environ la moitié des événements de rançongiciels. En ciblant des applications vulnérables, les attaquants peuvent contourner la sécurité et accéder sans autorisation aux systèmes, qu'ils peuvent ensuite infecter avec des rançongiciels. La lutte contre cette menace exige de la vigilance : les agences doivent mettre à jour les logiciels et les micrologiciels dès que les fournisseurs publient de nouvelles mises à jour et correctifs.

Ensemble, les vulnérabilités logicielles et les identifiants compromis sont les vecteurs initiaux d'environ 55 % de tous les événements de rançongiciels, selon un rapport récent.

• Appliquer la sécurité informatique aux opérations : la convergence des systèmes informatiques avec les systèmes de technologie opérationnelle (OT) (par exemple, grâce à l'utilisation de capteurs IoT) offre aux cybercriminels une nouvelle voie d'attaque. En ciblant des appareils qui relient l'informatique et les technologies opérationnelles, les cybercriminels peuvent provoquer de graves perturbations opérationnelles et obtenir un levier pour exiger une rançon. Les agences gouvernementales doivent appliquer des capacités de sécurité informatique aux technologies opérationnelles pour veiller à ce que les systèmes sous-protégés ne deviennent pas des vecteurs d'incidents de rançongiciels.

• Développer et tester un plan de réponse aux incidents : chaque jour de perturbation peut coûter des milliers de dollars en récupération et restauration de données. Élaborer un plan de réponse aux incidents, et le tester régulièrement, contribuer à garantir une réponse rapide dès qu'une attaque est détectée.

• Sauvegarde des données : bien que la sauvegarde des données seule ne suffise pas à vaincre les incidents de rançongiciels, elle doit néanmoins faire partie des défenses. Le fait de disposer d'une sauvegarde des données à jour dans un emplacement sécurisé hors ligne ou dans le cloud réduit considérablement la pression à payer une rançon. Le chiffrement des données sauvegardées est essentiel, car la plupart des attaquants essaieront également d'accéder aux sauvegardes et de les voler.

Technologie : Améliorer la stratégie de cybersécurité

D'après mon expérience avec les administrations nationales et collectivités locales, je constate que beaucoup n'ont tout simplement pas mis en œuvre les types de capacités de sécurité dont elles ont besoin pour se protéger des rançongiciels. Au lieu de se contenter de sauvegarder leurs données, elles doivent mettre en place des solutions qui leur permettront de bloquer les attaques initiales, de contenir la propagation latérale des logiciels malveillants et d'empêcher l'exfiltration des données.

• Blocage des attaques initiales : il existe plusieurs types de solutions qui contribuent au blocage de la première étape critique d'un incident de rançongiciel et empêchent les attaquants d'accéder au réseau.

• Sécurité des e-mails : alors que les attaquants créent des e-mails de phishing plus convaincants, les agences doivent utiliser les capacités de sécurité des e-mails pour identifier et bloquer ces e-mails avant qu'ils n'atteignent les boîtes de réception des employés.

• Filtrage DNS : le filtrage DNS, recommandé par l'Agence de cybersécurité et de sécurité des infrastructures (CISA), peut empêcher l'accès à tout site malveillant connu et bloquer les téléchargements.

• Sécurité des applications : les agences doivent mettre en place un pare-feu d'applications web (WAF) pour détecter et bloquer les attaques sur les applications web en temps réel et empêcher ainsi les tentatives de prise de contrôle des applications et le déploiement de rançongiciels.

• Protection contre les attaques DDoS : bien que cela soit rare, certains cybercriminels exigent une rançon dans le cadre d'attaques DDoS. Les agences ont besoin d'une protection contre les attaques DDoS qui détecte, absorbe et arrête automatiquement ces attaques, et ainsi éliminent la nécessité de payer une rançon.

• Contenir les mouvements latéraux : si des cybercriminels parviennent à voler des identifiants utilisateur ou à compromettre une application, leur logiciel malveillant peut alors se déplacer latéralement à travers un réseau et ainsi finir par trouver des données sensibles. La mise en œuvre d'un modèle Zero Trust empêchera ce mouvement latéral. En déployant la microsegmentation et en utilisant un service d'accès réseau Zero Trust, par exemple, les agences sont en mesure de contrôler les ressources auxquelles chaque utilisateur peut accéder. Même si un attaquant obtient l'accès à une seule application ou à un seul environnement, il ne pourra pas accéder à l'ensemble du réseau.

• Empêcher l'exfiltration des données : une passerelle web sécurisée qui analyse les données en transit, identifie les données sensibles et applique des règles empêchant ces données d'être déplacées, aide à prévenir le vol ultime de ces données dans le cas où un attaquant parviendrait à les atteindre.

Comment prévenir les rançongiciels sans complexité ?

Les administrations nationales et collectivités locales continueront d'être des cibles principales pour les rançongiciels. Les cybercriminels voient souvent les agences gouvernementales comme des organisations vulnérables prêtes à payer des rançons pour rétablir des services essentiels.

Le cloud de connectivité de Cloudflare offre une plateforme unifiée de capacités de cybersécurité cloud-native qui aide les agences à mettre en œuvre des défenses complètes contre les rançongiciels. Grâce aux services Cloudflare, votre organisation peut stopper les attaques initiales, les téléchargements malveillants, les mouvements latéraux et l'exfiltration de données, le tout au sein d'une plateforme unique et entièrement intégrée. Ces solutions technologiques vous aident également à rationaliser vos efforts d'optimisation des processus et à renforcer vos défenses « humaines ». Et dans la mesure où Cloudflare fournit des services via une interface unique, vos équipes peuvent faire face aux rançongiciels et autres menaces tout en maîtrisant les coûts et la complexité.

Cet article fait partie de notre série consacrée aux nouvelles tendances et évolutions susceptibles d'affecter les décideurs en matière de technologies d'aujourd'hui.

Approfondir le sujet

Pour en savoir plus sur la manière dont les agences fédérales modernisent l'informatique, consultez l'e-book « La manière simple de parvenir à une informatique efficace ».

Auteur

Dan Kent — @danielkent1
Directeur technique sur site pour le secteur public, Cloudflare

Conclusions essentielles

Cet article vous permettra de mieux comprendre les aspects suivants :

• Comment les attaques par rançongiciel évoluent et deviennent plus efficaces

• Les principaux vecteurs d'attaques par rançongiciel sur les agences gouvernementales

• 3 clés pour arrêter les attaques par rançongiciel

Ressources associées

• La manière simple de parvenir à une informatique efficace pour les agences fédérales

• Priorités en matière de cybersécurité pour les administrations locales et nationales

• Les auteurs d'attaques par rançongiciel accentuent leurs tactiques d'extorsion