AccueilActualités informatiqueTest à grande échelle : la sécurité informatique testée dans 422 municipalités...

Test à grande échelle : la sécurité informatique testée dans 422 municipalités de la Hesse

Des pirates informatiques attaquent les données de la société Software AG, basée à Darmstadt. Une cyberattaque ralentit le portail scolaire de Hesse en pleine pandémie de Corona. La compagnie d’assurance Haftpflichtkasse de Roßdorf, dans le sud de la Hesse, a dû mettre hors service l’ensemble de ses systèmes informatiques après une telle attaque, et des données se sont échappées. Les villes, les universités, les autorités et les hôpitaux sont partiellement paralysés par les logiciels malveillants. En raison de la numérisation croissante, les enquêteurs s’attendent à ce que la pertinence de la cybercriminalité continue d’augmenter et à ce que les auteurs se professionnalisent.

Sommaire

Les criminels peuvent trouver des points d’entrée partout. La start-up LocateRisk, basée à Darmstadt, a examiné les risques que cela comporte pour les municipalités, les entreprises du DAX et les banques. Les résultats donnent à réfléchir. LocateRisk a contrôlé les 422 municipalités de Hesse cet été et a constaté que 74 % d’entre elles étaient exposées à un risque de vol de données en raison d’une transmission de données cryptées partiellement inadmissible. À 31 %, les systèmes de bases de données n’étaient pas tous sécurisés de manière adéquate, et près d’un quart d’entre eux risquaient d’être attaqués en raison de logiciels obsolètes.

« Dès lors qu’un ordinateur est accessible depuis l’internet, il peut déjà y avoir des failles de sécurité », explique le fondateur et responsable de LocateRisk, Lukas Baumann. Le vol de données est également possible pour les escrocs dans les 28 entreprises du DAX auditées par sa société. 23 n’avaient pas protégé de manière adéquate leurs systèmes de base de données. Le jeune homme de 26 ans ne sait pas combien de municipalités ou d’entreprises auditées par LocateRisk pour des vulnérabilités ont effectivement été victimes de cyberattaques. Il ne fait que signaler les éventuelles fuites de sécurité. « Nous fournissons une liste de recommandations d’action classées par ordre de priorité, mais nous orientons vers des partenaires éventuels. »

Le rapport de situation sur la cybercriminalité de l’Office fédéral de la police criminelle montre l’ampleur prise par les vols numériques ou la paralysie d’infrastructures, souvent accompagnés de tentatives d’extorsion. De 2016 à 2020, le nombre de cas enregistrés en Allemagne a augmenté de manière continue, passant de 82 649 à 108 474. Le taux d’élucidation en 2020 n’était même pas d’un tiers.

Pour les autorités chargées de la sécurité, c’est loin d’être le cas. « On peut toutefois supposer qu’un nombre proportionnellement élevé de cas non signalés, car les entreprises ne s’adressent pas toujours à la police parce que, par exemple, aucun dommage n’a été causé, on craint que l’incident ne soit porté à la connaissance du public et qu’une perte de réputation puisse ainsi se produire », explique un porte-parole du ministère de l’intérieur de Hesse. En outre, dans certains cas, l’intérêt de restaurer les données l’emporte sur l’intérêt des poursuites.

En août, l’association numérique Bitkom a chiffré la dimension des dégâts à 220 milliards d’euros pour 2020, soit plus de deux fois plus que les années précédentes. Selon une étude de l’association, neuf entreprises allemandes sur dix ont été touchées par le vol de données, l’espionnage ou le sabotage. Selon les dernières informations de Bitkom, les investissements dans la sécurité informatique devraient dépasser pour la première fois le seuil des six milliards d’euros en raison de la crainte des maîtres chanteurs et des fuites de données.

« Les entreprises subissent un préjudice économique important du fait des attaques cybercriminelles », déclare également le ministre de l’Intérieur de la Hesse, Peter Beuth (CDU). Avec le Hessen Cyber Competence Center « Hessen3C », l’État, en coopération avec les autorités de sécurité et judiciaires, offre une aide en matière de prévention et surtout en cas d’attaques réelles.

Depuis avril, des possibilités de formation sont également offertes à l’Institut Fraunhofer pour les technologies d’information sécurisées. « Malheureusement, en raison de la situation de Corona, nous n’avons pas pu commencer comme nous l’avions prévu, car nous avons d’abord dû passer à la formation en ligne », explique l’experte en sécurité informatique de l’Institut Fraunhofer et du centre national de recherche en cybersécurité appliquée « Athene », Haya Shulman. Jusqu’à présent, des participants d’une trentaine d’organisations y ont pris part. Depuis un quart d’année, le nombre de demandes de renseignements est en augmentation.

« Sur le Cyber Range, les équipes peuvent apprendre et tester de nouvelles approches et stratégies de solution. Et ils peuvent s’exposer à des situations extrêmes avec un niveau de stress approprié », déclare Shulman. Ce n’est d’ailleurs pas tant l’expertise des gens qui pose problème, mais plutôt le budget de la sécurité. « En général, on conseille aux entreprises d’investir 10 à 15 % de leur budget dans la sécurité informatique, mais très peu le font. »

Lire aussi

Baumanns, une start-up financée par le ministère fédéral de l’éducation et de la recherche à hauteur de 730 000 euros, ne cible que le domaine principal dans ses analyses et trouve à partir de là tous les systèmes connectés et les vulnérabilités, qu’il convient ensuite de fermer. Les grandes entreprises n’ont généralement aucun problème à rester dans le coup : « Les grandes entreprises ont les bonnes personnes, elles peuvent se le permettre. Ailleurs, il voit des lacunes. « Les départements informatiques sont souvent mal dotés en personnel, et ils l’admettent ouvertement.

Plus d'articles