186 entités publiques ont été identifiées comme présentant des équipements vulnérables à 311 failles critiques, parmi les 25 000 analysés, constate Breizh Cyber, le centre de réponse aux incidents de sécurité informatique (CSIRT) de Bretagne qui a mené une campagne avec ses homologues régionaux et les centres de ressources cyber (CRC) ultramarins, en partenariat avec l’éditeur en cybersécurité Onyphe.
Cette campagne, menée du 2 au 10 avril 2024, avant les JO Paris 2024, a porté sur 25 000 noms de domaines d’entités publiques. Les communes, intercommunalités, conseils départementaux, centres de gestion territoriaux et conseils régionaux ont été passés au crible, avec un taux de couverture de 67 %.
Ce taux n’est pas de 100 %, en raison de l’absence de sites web pour les plus petites communes ou à des noms de domaine non renseignés dans l’annuaire des services publics. Faute de moyens humains, techniques et financiers, ce sont surtout les communes qui ont le plus de vulnérabilités, suivies des intercommunalités.
Les messageries dans le viseur
Les résultats montrent que les failles les plus fréquentes concernent des logiciels de messagerie (Microsoft Exchange, Zimbra) et de gestion de parc informatique (GLPI). Ces vulnérabilités représentent une menace sérieuse pour la sécurité des infrastructures publiques ou privées d’ailleurs. Ces découvertes montrent l’urgence d’agir d’autant plus que NIS2 devrait être applicable à certaines collectivités locales.
25 % des failles corrigées
À la date du 26 juin, 25 % des vulnérabilités identifiées en avril avaient été corrigées grâce à l’action coordonnée des CSIRT auprès des propriétaires des équipements concernés. Cette réponse rapide montre l’importance de la coopération entre les différents acteurs de la cybersécurité.
Les centres de réponse aux incidents de sécurité informatique jouent un rôle crucial pour les entreprises, associations et collectivités locales. Ils analysent les menaces et orientent vers des spécialistes locaux certifiés.
Patrice Remeur