Une cyberattaque, des dizaines de collectivités paralysées outre-Rhin

L’information a commencé à se propager ce lundi 30 octobre au matin : l’entreprise de services numériques (ESN) Südwestfalen-IT (SIT-NRW), basée à Siegen en Rhénanie-du-Nord-Westphalie, venait d’être victime d’une cyberattaque avec rançongiciel. 

Las, l’incident est loin de n’affecter que l’ESN. Car comme l’expliquent nos confrères du Westfalenpost, « au total, SIT dessert 73 clients, dont toutes les municipalités de Siegen-Wittgenstein ». À ce jour, « toutes les mairies sont hors ligne, les services à la population sont sévèrement limités ». 

Cela concerne aussi bien les sites Web que les messageries électroniques ou encore, dans une certaine mesure et selon les collectivités, le téléphone. De nombreuses communes préviennent déjà que l’impact de la cyberattaque devrait se faire sentir durant « plusieurs jours » et ont mis en place des moyens de communication alternatifs avec les administrés.

Le chiffrement est survenu dans la nuit, le 30 octobre, à 1h du matin. L’attaque : « a été détectée dans le centre de contrôle du district [de Siegen-Wittgenstein], où des fichiers chiffrés ont été découverts ». 

Cette cyberattaque survient quelques jours après qu’une autre ait touché Messe Essen, l’entreprise organisatrice des grands salons publics de la ville d’Essen – en Rhénanie-du-Nord-Westphalie également – à quelques encablures de deux grandes foires. 

À cela s’ajoute l’ESN Designa Verkehrsleittechnik, victime d’une cyberattaque autour du 28 octobre. Ses solutions sont utilisées par de multiples parkings payants, dans divers pays. Outre-Rhin, certains à Pforzheim ou encore Ulm ont laissé leurs barrières levées durant le week-end. 

Ces incidents rappellent la criticité des ESN. Fin juillet dernier 2022, Trellix soulignait la menace pesant sur les ESN. Deux semaines plus tôt, l’Américain SHI International confirmait avoir été touché par une cyberattaque « professionnelle avec maliciel », sans fournir plus de détails. Avant cela, des attaques contre Integrate Informatik AG, Adapt IT, Syredis, ou encore Datalit, avaient été revendiquées sur les sites vitrine de diverses franchises de ransomware.  

Au premier trimestre 2022, l’Agence nationale de la sécurité des systèmes d’information (Anssi) disait avoir « traité 18 compromissions » ayant affecté des ESN l’année précédente, contre 4 en 2020.

Et l’Anssi de souligner alors « un risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier, ou une zone géographique précise, notamment lorsque l’attaque cible une entreprise de service numérique locale ou spécialisée dans un secteur d’activité particulier ».

Cet été, Hosteur, Leaseweb, et CloudNordic (trois hébergeurs) ont été, l’un après l’autre, victimes de cyberattaques à l’impact plus ou moins marqué, pour eux-mêmes comme pour leurs clients.