Demain est le jour limite pour les hackers qui ont attaqué la ville d’Anvers. Vont-ils jeter leurs données à la rue ou les services de la ville peuvent-ils redémarrer ? Le maire Bart De Wever a confiance dans la deuxième option, mais : « Nous n’avons pas négocié. »
A Anvers, les habitants n’ont plus pu prendre de rendez-vous numériques ces dernières semaines, le CPAS n’a pas pu délivrer d’attestations, le trafic mail de la police boitait et on craignait même que la gestion de la paie des fonctionnaires ne devienne bientôt un problème : il s’agit d’une cyberattaque d’une ampleur inhabituelle dont la ville a été victime fin novembre.
L’attaque du dark web – l’internet caché – a été rapidement revendiquée par le groupe de hackers Play. Lundi, il jetterait les 557 gigaoctets de données qu’il a dit avoir réussi à obtenir – « informations personnelles, passeports, documents d’identité et documents financiers » – dans leur intégralité sur Internet à moins qu’une rançon ne soit payée. Samedi, le rapport de la cyberattaque d’Anvers a soudainement disparu. Un accord a-t-il alors été conclu ?
Ceci est catégoriquement démenti par De Wever. « Nous n’avons rien payé, aucun gouvernement ou agence de ce pays. Et nous n’allons pas payer non plus », a-t-il ajouté ce matin Le septième jour dans une première réponse à la cyberattaque. Même s’il a laissé une petite ouverture à la fin de la conversation : « Il ne faut pas dire très fort que vous ne paierez jamais, car dans de nombreux contextes – les hôpitaux, la ville de Liège – les gens n’avaient pas d’autre choix et ils devaient payer. . Nous ne pensons pas être dans cet état. »
Pas d’organismes de bienfaisance
De Wever n’a pas dit si la menace était levée que toutes sortes de données privées d’Anversois soient jetées dans la rue demain. « C’est comme si le cambrioleur était toujours dans votre maison, alors il n’est pas conseillé de communiquer. » Le maire d’Anvers a déclaré que la ville « une fois le jour J arrivé, nous assurerons le plus de transparence possible ».
Bart Preneel, professeur de sécurité informatique à la KU Leuven, comprend le point de vue de De Wever. « Il serait éthiquement correct de ne pas payer de telles organisations car ce sont des actes criminels. Vous êtes pris entre deux feux et devez faire un choix difficile. Le fait que le rapport de la ville d’Anvers ne soit plus disponible sur le site Play en dit long, mais pas tout. « Je ne peux en tirer aucune conclusion. Ces organisations ne sont pas des organisations caritatives, mais elles sont généralement fiables et tiennent généralement parole. »
Quoi qu’il en soit, il était déjà apparu il y a 2,5 ans après un audit de performance de Deloitte qu’il y avait des lacunes en matière de cybersécurité dans les systèmes de la ville d’Anvers. L’un des principaux points faibles était qu’il y avait beaucoup trop peu de ressources disponibles pour la numérisation par rapport aux moyennes internationales. Dans le plan stratégique de Digipolis Anvers 2023-2027, que nous avons pu consulter, il est explicitement fait référence à cet audit. Les benchmarks ont montré que les organisations informatiques au sein du gouvernement se voyaient allouer en moyenne 4,5 % du budget de fonctionnement, contre seulement 2,7 % à Anvers.
Et parmi ces ressources informatiques à Anvers, une part bien trop faible est allée à la cybersécurité – seulement 1,2 % des ressources par rapport à une moyenne industrielle de 10 % – comme le montre une présentation lors du conseil d’administration de Digipolis en mai dernier. an. C’est pourquoi un «mouvement de rattrapage» a été prévu pour 2022, pour assurer un «pas vers la cybersécurité» en 2023 et atteindre «une sécurité et une cyber-résilience minimales» en 2024. Autrement dit, en raison du sous-investissement dans le passé, il y avait un arriéré qu’il fallait rattraper. Il a également été implicitement indiqué que l’infrastructure informatique urbaine ne serait suffisamment sécurisée qu’en 2024.
600 applications différentes
À partir de 2021, davantage de ressources ont été allouées à Digipolis – 148 millions d’euros – mais seulement 2,8 % (4,2 millions d’euros) étaient encore prévus pour la cybersécurité. Au passage, cela retomberait à 2,9 millions d’euros pour les années 2025, comme le montre le troisième ajustement de la programmation pluriannuelle 2021-2025.
L’audit de Deloitte a donc pu renverser la vapeur, mais il y a beaucoup de travail à faire. Par exemple, l’audit a fait référence à plus de 600 demandes différentes utilisés dans la ville, dont beaucoup étaient « obsolètes et n’avaient pas été entretenus depuis des années ». A Digipolis, le 28 octobre 2022, il est même littéralement affirmé qu’il existe un grand danger « qu’un ou plusieurs systèmes critiques ne soient plus disponibles à court terme ».
Ce sont des problèmes techniquement complexes qui nécessitent de nombreuses connaissances de base. De Wever a également indiqué que Le septième jour. « Je ne suis pas du tout un cyber-expert. J’en ai beaucoup appris en peu de temps. Tout cela est extrêmement compliqué. La ville d’Anvers n’est pas une victime fortuite. Nous avons un énorme environnement numérique avec de nombreux points d’accès et de nombreux systèmes. »
La ville d’Anvers et Bart De Wever n’étaient pas disponibles pour de plus amples commentaires.