La fuite de fichiers sensibles de la CNSS a mis les autorités en état d’alerte. Quelque temps après le leak des données de la Caisse, l’Agence nationale de la conservation foncière (ANCFCC) a suspendu son service en ligne le 14 avril.
L’objectif ? “Garantir l’intégrité et la sécurité des informations” de l’ANCFCC, indique le Conseil national de l’ordre des notaires dans un communiqué diffusé auprès de la profession. Simple précaution ou réaction à une menace confirmée ?
Pour avoir un début de réponse, explorons les différentes méthodes qui ont permis aux pirates de s’introduire dans le système de la CNSS.
Infiltration sous couvert
Pour les experts, une certitude se dégage : pour extraire la base de données de la CNSS, les hackers de Jabaroot DZ, qui ont revendiqué cette attaque, ont obtenu des privilèges d’administration de haut niveau (également connu sous le nom de Database Administrator ou l’acronyme DBA).
Avec le niveau d’accès que les pirates semblent avoir obtenu, ils auraient pu non seulement extraire des données de la CNSS mais aussi détruire des accès ou des informations. Voire accéder aux dossiers médicaux…
“En tant qu’administrateur des bases de données, plusieurs niveaux d’accès existent. Le premier offre uniquement un droit de consultation. Le deuxième permet des insertions ou des modifications. Le troisième, plus élevé, donne le pouvoir de supprimer ou d’extraire ces données”, nous explique un ingénieur en cybersécurité travaillant pour un cabinet français spécialisé dans la protection des systèmes bancaires.
Dans le cas de la CNSS, le cybercriminel a pu extraire des documents complets, ce qui semble indiquer qu’il a pu obtenir le troisième niveau d’accès. “Avec un accès restreint, il n’aurait pu faire que des captures d’écran”, précise notre source.
Avec un tel niveau d’accès, les pirates auraient pu non seulement extraire des données mais aussi modifier des mots de passe, détruire des accès ou des informations. Voire accéder aux dossiers médicaux des adhérents.
Une sécurité défaillante
Au-delà des accès dont ont bénéficié les pirates, une autre question subsiste. Quelle a été la méthode d’intrusion des hackers ? “Première possibilité : les accès ont été partagés par une personne autorisée en interne. Deuxième scénario : un phishing ou hameçonnage consistant à envoyer un email frauduleux pour duper le destinataire et prendre le contrôle du système. Troisième hypothèse : l’intrusion s’est déroulée par étapes, débutant par une simulation d’attaque non détectée, suivie d’une infiltration effective. Cette dernière méthode prend plus de temps”, explique notre expert.
“Le bouclier de protection ne s’est pas activé au moment de l’attaque. Normalement, un système d’alerte aurait dû se déclencher immédiatement”
Pour ce dernier, une certitude : “Le bouclier de protection ne s’est pas activé au moment de l’attaque. Normalement, un système d’alerte aurait dû se déclencher immédiatement.” Cette alerte devrait également s’activer dès qu’une communication s’établit entre une adresse email professionnelle et une adresse externe, permettant son interception.
D’autres systèmes doivent être mis en place en renfort comme une authentification à facteurs multiples via la génération d’un mot de passe à usage unique (également connu sous le nom d’OTP). Dans d’autres systèmes informatiques, ce genre de brèches a pu être exploité.
Des mesures simples qui auraient pu faire la différence
Si la CNSS paie aujourd’hui les conséquences d’une négligence en matière de sécurité numérique, des solutions accessibles auraient pu renforcer significativement sa protection. “Face à des informations sensibles, il est crucial de suivre les standards de sécurité les plus rigoureux”, explique notre expert.
“Certaines pratiques très efficaces ne nécessitent pas d’investissements colossaux. Comme l’anonymisation des données, largement utilisée par les banques européennes lorsqu’elles collaborent avec des partenaires hors UE”
“Certaines pratiques peuvent s’avérer très efficaces sans nécessiter d’investissements colossaux. L’anonymisation des données, par exemple, est largement utilisée par les banques européennes lorsqu’elles collaborent avec des partenaires hors UE, notamment dans les pays où la protection des données offre moins de garanties que le RGPD. Même en cas de fuite, les données restent alors inexploitables”, détaille notre interlocuteur.
Une autre approche consiste à fractionner la base de données, à l’image de la stratégie adoptée par l’ONEE. “Plutôt que de centraliser toutes les données sensibles au même endroit, le partitionnement ajoute un niveau de sécurité supplémentaire,” souligne notre spécialiste.
Pour limiter les risques d’erreur humaine, les tests de conformité et d’acceptation utilisateur (UAT) permettent d’identifier les vulnérabilités comportementales susceptibles de compromettre le système, avant même de procéder aux tests d’intrusion (PenTest). “De plus, les engagements entre client et fournisseur doivent être clairement définis dans l’accord de niveau de service (SLA). Ce document contractuel précise le niveau de sécurité requis et les responsabilités qui en découlent,” insiste l’expert.
Et d’ajouter : “Dans le cas de la CNSS, je suppose qu’il y a eu un manque d’échange régulier des rapports de sécurité entre les prestataires et la direction des systèmes d’information.”
Bien que plus coûteuse en termes de ressources humaines et financières, la migration vers le cloud représente, selon notre spécialiste, l’une des solutions les plus sûres : “Pour la CNSS, le recours au cloud aurait été judicieux. Même si cette option est onéreuse, car elle nécessite du personnel qualifié, elle permet de sécuriser les données auprès de fournisseurs disposant des infrastructures adéquates. Mais la question du coût devient relative quand on constate, comme trop souvent, que c’est après le sinistre qu’on regrette de ne pas s’être correctement protégé”.
L’idée de la gestion du risque commence justement à faire sa place au sein de l’Exécutif. La ministre de l’Economie et des Finances, Nadia Fettah, a ainsi annoncé, le 16 avril, que son département planchait sur une offre d’assurance pour les risques cyber.
À l’heure où la donnée vaut de l’or, et dans ce contexte de menace cybernétique, chaque administration se change en château de cartes. La CNSS était-elle le premier domino à tomber ou le début d’une longue série ? La police d’assurance promise par Nadia Fettah pourrait servir à consolider davantage nos administrations.
Précision : Cet article a été actualisé le 17 juin pour renforcer la lisibilité de certains passages et garantir une représentation équilibrée des faits et points de vue.
