En 2020, le nombre d'attaques par rançongiciels traitées par l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a pratiquement été multiplié par quatre (+255%) par rapport à 2019. Fort de ce constat, l'Etat a confié à l'ANSSI un volet cybersécurité de France Relance pour renforcer la cybersécurité des administrations publiques et des territoires sur la période 2021-2022. Doté d'une enveloppe de 136 millions d'euros, ce volet comprend la création d'un réseau de CSIRT (Computer Security Incident Response Team) au niveau de chaque région.

La Bourgogne-Franche-Comté est la deuxième région à se doter de ce type d'agence. Officiellement ouvert en octobre dernier, ce centre cyber affirme son utilité : « les mois passent et les sollicitations sont de plus en plus nombreuses. Nous avions deux sollicitations par mois à l'ouverture, aujourd'hui nous recevons environ 25 sollicitations par mois », constate Sébastien Morey, qui a fait son entrée à l'ARNia en février 2022 en tant que Responsable du pôle cybersécurité. Deux analystes l'ont rejoint en septembre 2022 afin de contribuer de manière opérationnelle à la réalisation des activités du centre (CSIRT). Une troisième analyste a renforcé l'équipe en février 2023.

Trois types de cyber-attaques

Sébastien Morey a relevé trois typologies principales d'incidents le plus fréquemment rencontrés ces derniers mois auprès des collectivités et des TPE/PME. La première est le phishing (hameçonnage) des personnes qui reçoivent des mails et cliquent malencontreusement sur un lien frauduleux. Le second a des impacts plus visibles. Il s'agit de la fraude bancaire. Le fraudeur arrive à rentrer dans la messagerie de la commune ou de l'entreprise, souvent à cause d'un mot de passe faible, puis il envoie des factures et demande à l'entité de payer sur ce nouveau RIB. « Les mails de phishing aujourd'hui sont mieux écrits grâce à ChatGPT qui crée des contenus de qualité, dans un français parfait » souligne Sébastien Morey. La troisième typologie réside sur les sites marchands. Les hackers copient le site en appliquant des prix 10% inférieurs, avec une URL qui ressemble fortement au nom de l'enseigne. Les clients achètent sur le faux site, le fraudeur encaisse l'argent. Des attaques qui peuvent entrainer de lourdes conséquences dans la réalité : « Nous avons eu un cas en début d'année où le chef d'entreprise se sentait physiquement en danger. Ce dernier était harcelé jour et nuit par des clients qui n'avaient pas reçu leur livraison. Il s'agissait de commandes de bois de plusieurs milliers d'euros. Mais l'entreprise ne pouvait pas le rembourser », raconte Sébastien Morey.

Pas de pouvoir de sanction

« Face à ces déclarations, nous n'avons pas de pouvoir de sanction mais nous pouvons toutefois réussir à fermer le site marchand qui a été copié », confie Sébastien Morey. C'est déjà un premier pas pour l'entreprise. Les missions des CIRST se limitent, à une part corrective (centralisation des déclarations d'incidents cyber, mise en relation des victimes), et une autre part préventive (actions de veille, sensibilisation et analyse de l'état de menace). « Notre force est que nous connaissons le tissu des acteurs régionaux. Une fois l'analyse réalisée par nos experts, nous pouvons orienter les victimes vers les bons interlocuteurs », souligne Sébastien Morey. Durant les derniers mois, le centre cyber de Bourgogne-Franche-Comté a davantage enregistré des déclarations provenant des entités publiques, plutôt des petites et moyennes collectivités, que des entreprises privées. « Lorsqu'un service public ne fonctionne plus, le citoyen le repère rapidement tandis que les entreprises ont plutôt tendance à ne pas être transparente sur leur attaque, pour essayer de passer sous les radars et éviter de potentielles sanctions », explique Sébastien Morey. Pour cause, les règlements européens, les lois, ou les directives sont souvent en défaveur des entreprises. Par exemple, selon la loi LOPMI entrée en vigueur le 24 avril dernier, « tout professionnel ou entreprise qui subit une attaque doit déposer plainte dans un délai de 72h maximum, à compter du moment où il a eu connaissance de l'incident. » « En tant que centre régional, nous n'avons pas de pouvoir de sanction », précise Sébastien Morey. « Il faut que les chefs d'entreprises se sentent rassurés. Nous ne ferons jamais de déclaration à la CNIL à leur place. Certes, nous avons le devoir de les inciter fortement parce c'est la loi mais notre rôle se limite à de l'alerte, de l'assistance et du conseil », poursuit-il.

L'accord signé le 24 février 2022 prévoit le financement par l'ANSSI (sous la forme d'une subvention) à hauteur d'un million d'euros du fonctionnement de ce service pendant trois années, de 2022 à 2024. A l'issue, le CSIRT a vocation à être pérennisé grâce au développement de son propre modèle économique. A plus long termes, l'objectif de l'ANSSI est la mise en réseau des CSIRT régionaux au sein de l'InterCERT France - le réseau français des CSIRT - pour créer un groupe de coopération et de partage dédié à leurs enjeux territoriaux. Afin d'améliorer et de faciliter l'accueil des victimes de cyberattaques, le CSIRT-BFC a également mis en place un numéro de téléphone unique : 0970 609 909.