Cyber-extorsion : les petites villes sont les nouvelles cibles

Les chiffres expliquent ce changement. L'entreprise de cybersécurité Sophos a constaté à plusieurs reprises dans ses rapports annuels sur les ransomwares que les administrations locales, la santé et l'éducation restent parmi les secteurs les plus touchés. Aux États-Unis, le Centre de partage et d'analyse d'informations multi-États, qui aide les gouvernements locaux, a prévenu depuis des années que les ransomwares demeurent l'une des menaces les plus graves pour les organismes publics locaux. Les agences fédérales partagent cet avis. Le centre de plainte du FBI pour la criminalité sur Internet a rapporté des milliards de dollars de pertes annuelles dues à la cybercriminalité, mais ces chiffres sous-estiment probablement les dégâts pour les institutions locales, qui souvent ne signalent pas les attaques ou ne mesurent pas le coût total des interruptions de service.

Ce qui rend ces attaques si dévastatrices, ce n'est pas seulement la demande de rançon. C'est tout ce qui cesse de fonctionner quand un système local est paralysé. Dans une ville, cela peut signifier que les dossiers judiciaires deviennent inaccessibles. Dans une autre, le paiement des impôts est bloqué, les systèmes d'appel d'urgence sont ralentis ou le personnel scolaire perd l'accès aux dossiers des élèves. En 2023, des responsables de plusieurs municipalités américaines ont révélé des incidents qui ont perturbé les services de base pendant des jours, voire des semaines. Au Royaume-Uni, des conseils municipaux ont également subi de graves pannes, certains étant forcés de revenir à des méthodes papier.

Les attaquants comprennent bien cette pression. Une grande entreprise peut avoir des systèmes de sauvegarde, une cyber-assurance, des conseillers externes et une équipe de sécurité dédiée. Un service administratif dans une zone rurale n'a souvent rien de tout cela. De nombreuses agences locales utilisent encore de vieux logiciels, du matériel obsolète et de petites équipes informatiques surchargées. Parfois, une ou deux personnes sont responsables de toute la vie numérique d'une ville. C'est une mission quasi impossible face à des groupes criminels qui fonctionnent comme des entreprises, avec un service client, des négociateurs et des outils de piratage prêts à l'emploi.

Des études ont montré que ces faiblesses sont très répandues. Un rapport de 2023 du Center for Internet Security décrivait les gouvernements locaux comme disposant de ressources limitées et étant de plus en plus ciblés. Des analyses du Government Accountability Office, l'équivalent américain de la Cour des comptes, ont également averti que de nombreux secteurs essentiels, comme la distribution d'eau, présentent d'importantes lacunes en matière de cybersécurité. Le problème est particulièrement grave dans les petites communautés. Les grandes villes peuvent au moins obtenir un soutien de l'État ou du gouvernement fédéral après un incident. Les plus petites, elles, souffrent souvent en silence.

Les services de distribution d'eau montrent pourquoi l'enjeu dépasse la simple paperasse. Ces dernières années, des responsables américains ont maintes fois averti que les failles de sécurité dans les installations d'eau potable et d'eaux usées pourraient créer de réels risques pour la sécurité publique. L'Agence de protection de l'environnement a pointé du doigt de mauvaises pratiques de mots de passe, des logiciels obsolètes et des systèmes d'accès à distance non sécurisés. En 2021, un pirate a accédé au système de traitement de l'eau d'Oldsmar, en Floride, et a brièvement tenté d'augmenter la quantité d'hydroxyde de sodium dans l'eau. La manœuvre a été déjouée à temps, mais l'affaire est devenue un exemple frappant de la rapidité avec laquelle une attaque numérique peut avoir des conséquences dans le monde physique.

La situation est similaire pour les écoles. Elles conservent des informations très personnelles sur les enfants et leurs familles, mais beaucoup disposent de budgets de sécurité limités. Ces dernières années, des écoles du Minnesota, de Californie et de New York ont signalé des attaques par ransomware ou des vols de données touchant les registres de présence, les salaires, les dossiers de suivi psychologique et les fichiers sur l'éducation spécialisée. La faille n'est pas que technique. Elle devient très vite personnelle. Une famille peut soudain craindre que le dossier médical de son enfant, son adresse ou son historique disciplinaire ne circulent en ligne.

Pourquoi ce phénomène s'accentue-t-il maintenant ? Une des raisons est économique. Les cybercriminels cherchent des cibles susceptibles de payer. Les services publics fournissent des services essentiels et ne peuvent pas rester hors ligne longtemps. Cela les pousse à vouloir restaurer leurs systèmes rapidement, même si les responsables déclarent publiquement qu'ils ne négocieront pas. Une autre raison est la facilité d'accès. Il n'est plus nécessaire d'être un expert pour lancer une attaque. La démocratisation du « ransomware-as-a-service » (rançongiciel en tant que service) a rendu l'extorsion plus simple. Des groupes criminels peuvent désormais acheter des outils, louer des infrastructures et se partager les bénéfices.

Il existe aussi un manque sur le plan politique. Les dépenses en cybersécurité favorisent encore les grandes institutions, qui ont des budgets plus importants et plus de poids politique. Pendant ce temps, on demande aux agences locales de protéger les systèmes électoraux, les archives publiques, les données de la police, les services publics et les écoles avec des moyens et du personnel inadaptés à la menace. Aux États-Unis, le Congrès et les agences fédérales ont augmenté les subventions et les programmes de soutien, mais de nombreux experts estiment que cette aide reste inégale et trop lente par rapport au rythme des attaques.

Les conséquences sont faciles à sous-estimer, car elles se répercutent sur la vie de tous les jours. Une attaque contre une petite ville ne fait pas toujours la une des journaux mondiaux. Mais pour les habitants, cela peut signifier une vente immobilière suspendue, une ambulance envoyée en retard, une bibliothèque fermée ou une perte de confiance dans la capacité de leur ville à protéger leurs informations. Ces attaques répétées érodent aussi la confiance dans les institutions publiques. Si une école ou un hôpital ne peut pas sécuriser son propre réseau, on peut légitimement se demander ce qui est en danger d'autre.

Il existe des solutions, et elles sont moins spectaculaires qu'on ne le pense. Les bases de l'hygiène numérique restent essentielles. Les agences fédérales comme la CISA insistent depuis longtemps sur quelques mesures clés : l'authentification multifacteur, les sauvegardes hors ligne, la segmentation du réseau, les mises à jour logicielles régulières et la formation du personnel. Ces mesures ne sont pas parfaites, mais elles réduisent considérablement les risques. Il est aussi crucial de préparer un plan de reprise avant qu'une attaque ne survienne. Les collectivités ont besoin de systèmes de sauvegarde testés, de plans d'urgence clairs et d'accords d'entraide pour ne pas être seules face à une attaque.

L'argent est aussi un facteur clé. La cybersécurité locale ne peut pas dépendre de subventions ponctuelles accordées après une crise. Elle a besoin d'un financement stable, de services partagés et de modèles de soutien régionaux qui permettent aux petites communautés d'accéder à des experts qu'elles ne pourraient jamais embaucher seules. Certains États américains ont commencé à aller dans cette direction en offrant un soutien centralisé aux comtés et aux écoles.

La plus grande erreur est de penser que la cyber-extorsion est surtout le problème des entreprises riches et des capitales lointaines. En réalité, la ligne de front traverse souvent les petites villes, les écoles modestes et les services publics que les gens utilisent chaque jour sans y penser, jusqu'à ce qu'ils tombent en panne. C'est pourquoi cette situation est importante. Quand la cybercriminalité frappe les institutions locales, elle ne se contente pas de voler des données. Elle paralyse les systèmes du quotidien qui permettent à une communauté de se sentir en sécurité, de fonctionner et d'exister.