Télétravail, accès à distance, focalisation des attentions et inquiétudes sur des thèmes anxiogènes et touchant tout le monde… Voilà autant d’opportunités nouvelles pour les cyber-criminels de doper leurs activités ou tentatives. Toutes les études démontrent que les arnaques, attaques d’hameçonnage voire même de rançonnage ont explosé à l’heure et sur le thème du Covid.

Tous les secteurs, tous les acteurs économiques, quelle que soit leur taille, ont soit été impacté, soit été la cible de telles attaques. Et le secteur public ne fait pas exception (petit exemple via une récente étude européenne dont nous vous relayons quelques chiffres dans l’encadré ci-dessous).

Récemment, la question a été abordée au Parlement bruxelloise, à l’initiative de la parlementaire Bianca Debaets, ancienne secrétaire d’Etat bruxelloise chargée de l’Informatique et de la Transition numérique (sous le gouvernement précédent).

L’ancienne secrétaire d’Etat s’inquiétait notamment d’un regain de cyber-attaques dont les administrations régionales auraient été victimes depuis le début de la crise et l’obligation de recourir davantage au télétravail pour les agents et acteurs publics. “Compte tenu de l’augmentation significative de la cybercriminalité en Europe, contre laquelle Europol mettait en garde et dans le contexte où le télétravail reste recommandé et où se prépare le déménagement des fonctionnaires de Bruxelles vers la Silver Tower [Ndlr: prévu pour janvier 2021], il reste capital de continuer à monitorer cette problématique et à intégrer des mécanismes de sécurité suffisants”, déclarait la parlementaire dans le texte de sa question.

Celle-ci portait plus spécifiquement sur les chiffres de hameçonnage, sur les mesures de sensibilisation et/ou de formation mises en oeuvre pour les fonctionnaires du Service public de la Région bruxelloises (SPRB) et celles planifiées pour renforcer la protection contre les campagnes de cyber-attaques.

La réponse du gouvernement régional a été formulée par l’entremise du CIRB, le centre d’informatique pour la Région.

Que disent tout d’abord les chiffres? “En 2019, nous avons enregistré 82 incidents de sécurité avec violation de la confidentialité, de l’intégrité et/ou de la disponibilité d’informations. Parmi eux, 44 incidents étaient plus spécifiquement liés au phishing (hameçonnage) et au spam.
Au premier semestre 2020, 47 incidents de sécurité ont été signalés dans le registre de sécurité du SPRB, dont 19 incidents d’hameçonnage”.

Services et administrations les plus ciblés en début d’année 2020? Les départements Economie et Emploi et Bruxelles Mobilité (qui, tous deux, franchissent la barre des dix incidents détectés). Suivent Bruxelles ConnectIT (nom provisoire de l’agence chargée de la stratégie informatique et numérique globale) et Bruxelles Synergie (agence de coordination, chargée de la mise en place de services d’intérêt général – coordination financière, ressources humaines, support logistique, Data Protection, soutien juridique…).

Cette partie de la réponse du CIRB à l’interrogation de Bianca Debaets semble donc ne pas signaler de hausse très sensible du hameçonnage. Impression battue en brèche un peu plus loin dans la réponse, lorsque le CIRB reconnaît “depuis le début du mois de février de cette année, une réelle recrudescence de tentatives d’hameçonnage au travers de l’e-mail sous couvert d’actions Covid. Afin de minimiser le risque de ce type d’attaque, nos employés et nos clients ont été avertis au travers de communications spécifiques.”

Quid des mesures prises ou à prendre?

Le contexte mais aussi quelques attaques récentes qui ont visé les services publics de la Région bruxelloise (dont un piratage d’une poignée de boîtes mail, à l’automne 2019, qui avait provoqué une fuite de données) semblent pousser les services responsables de la sécurité informatique à resserrer quelques boulons. Ainsi – étonnant que cela n’ait pas été fait antérieurement -, la décision a été prise de “déployer le principe d’une authentification multi-facteur auprès des collaborateurs du SPRB”.

CIRB: “Pour protéger la Région [bruxelloise] de la problématique du hameçonnage, l’infrastructure e-mail est dotée de deux bastions différents de sécurité permettant le filtrage des e-mails entrants et sortants..Il est cependant évident, au vu d’une réelle recrudescence de tentatives d’hameçonnage sous couvert d’actions Covid, que cela n’est pas suffisant à faire face à cette problématique.”

Pour ce qui est de sensibiliser et former, nos amis suisses diraient sans doute qu’il ne semble pas y avoir “le feu au lac”. Voyez plutôt comment le CIRB formule sa réponse à celle qui fut sa patronne de tutelle: “La direction Digital Transformation Office (DTO) de Bruxelles ConnectIT du SPRB organise différentes actions de sensibilisation pour les membres du personnel du SPRB par le biais de formations et de canaux de communication variés.
En ce qui concerne l’hameçonnage, le DTO publie régulièrement des messages ciblés sur l’intranet, par exemple: « Phishing: appel à la vigilance » ; « Ne vous laissez pas piéger par le phishing ! Devenez expert en repérage de faux e-mails. Faites le test phishing« .
Depuis le 13 mars et le confinement suite au Covid-19, le DTO a par ailleurs mené des actions de sensibilisation très ciblées concernant le télétravail en toute sécurité, par exemple: « Travailler en toute sécurité à la maison comme au bureau ».
Pour résumer, au SPRB, nous publions régulièrement des textes d’actualité et de sensibilisation sur l’intranet et nous organisons chaque année durant le mois d’octobre une action sur la cybersécurité.”

Un certain regain semble toutefois s’installer dans les alertes au hameçonnage, compte tenu de la recrudescence enregistrée depuis le mois de février et la pandémie virale (tant réelle que virtuelle!).

“Suite aux conditions actuelles, le télétravail a augmenté et les risques associés liés à un environnement autre que les espaces de travail dédiés ont augmenté. Le déploiement d’une authentification forte pour l’accès à distance devient une nécessité et sera un des points majeurs d’amélioration au niveau de la protection dans les quelques mois à venir.”

Et de conclure sur une note d’emport en termes de compétences à maîtriser par tous les agents et fonctionnaires:  “Un programme de formation sur la sécurité de l’information est en cours de développement et les membres des autorités locales pourront améliorer leurs connaissances dans ce domaine.” Il n’est jamais trop tard…