Secteur public 
Les agences publiques font face à une pression croissante pour réduire leurs coûts opérationnels tout en renforçant leurs défenses contre les cybermenaces coûteuses. Les systèmes traditionnels
En 2024, le secteur public américain a été confronté à un certain nombre de violations de données, mettant en évidence la vulnérabilité des agences et institutions publiques face à l’évolution des cybermenaces. Des fuites de données sensibles aux attaques par ransomware visant des infrastructures critiques, ces incidents ont révélé d’importantes lacunes dans les mesures de cybersécurité. Face à l’ingéniosité croissante des cybercriminels, les enjeux liés à la protection des données personnelles et nationales n’ont jamais été aussi importants. Dans cet article de blog, nous examinons certaines des violations de données survenues dans le secteur public américain au cours du dernier trimestre 2024, leurs implications et les enseignements à en tirer pour renforcer la sécurité en 2025.
Gouvernement fédéral
Les récentes cyberattaques hautement médiatisées, telles que la violation Salt Typhoon et l’infiltration du ministère américain des finances, soulignent la nécessité de renforcer les défenses en matière de cybersécurité au sein du gouvernement fédéral.
Cyberattaque Salt Typhoon
La cyberattaque Salt Typhoon a suscité beaucoup de réactions à l’échelle mondiale ces derniers mois en raison de son impact considérable sur les organismes publics. Cette offensive sophistiquée et hautement coordonnée a été attribuée à un groupe de pirates informatiques affilié au gouvernement chinois. Les attaquants ont infiltré les réseaux de télécommunications américains, tirant parti de leur accès pour géolocaliser des individus et intercepter des appels téléphoniques. Les principaux fournisseurs de télécommunications, notamment AT&T, Verizon et T-Mobile, figuraient parmi les cibles, ce qui a suscité d’importantes préoccupations en matière de sécurité nationale.
En conséquence, l’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) a publié des lignes directrices visant à renforcer la sécurité des communications mobiles pour les cibles gouvernementales de grande valeur.
Voici les principales recommandations :
- Messagerie chiffrée de bout en bout
- Authentification résistante au hameçonnage
- Authentification par SMS à éviter
- Mises à jour régulières des logiciels
- Utilisation d’un gestionnaire de mots de passe
- Configuration de codes PIN pour les comptes de télécommunications
Ministère des finances (Treasury Department) des États-Unis
Le 30 décembre, le ministère des finances des États-Unis a signalé une violation de la cybersécurité attribuée à des pirates informatiques soutenus par l’État chinois. Les attaquants ont exploité les vulnérabilités de BeyondTrust, un fournisseur tiers de sécurité cloud, pour obtenir un accès non autorisé à des documents et des postes de travail non classifiés du ministère des finances.
BeyondTrust a détecté une activité suspecte le 2 décembre et a informé le ministère le 8 décembre que des pirates informatiques avaient obtenu une clé API pour un service cloud utilisé dans le cadre de l’assistance technique. Ils ont ainsi pu contourner les mesures de sécurité, accéder à distance aux postes de travail et récupérer des documents non classifiés.
Le service compromis a depuis été mis hors ligne et le ministère estime que l’accès des pirates informatiques a été interrompu. La CISA et le FBI mènent actuellement une enquête sur cette violation.
Gouvernements locaux et d’État
Voici quelques violations récentes qui ont affecté des agences d’État et des municipalités au quatrième trimestre.
État de Rhode Island
En décembre 2024, le système RIBridges de Rhode Island, qui gère les prestations sociales telles que Medicaid et SNAP (programme d’aide alimentaire), a subi une cyberattaque majeure. Les pirates informatiques ont infiltré le système le 5 décembre et ont menacé de divulguer des données sensibles à moins qu’une rançon ne soit versée. Cette violation a potentiellement exposé les données personnelles d’environ 650 000 personnes, soit plus de la moitié de la population de l’État, notamment leurs noms, adresses, dates de naissance, numéros de sécurité sociale et certaines coordonnées bancaires.
En réponse, l’État a mis le système RIBridges hors ligne le 13 décembre afin d’atténuer la menace et a ouvert une enquête. L’arrêt du système a perturbé le traitement des demandes d’aide publique, obligeant les résidents à utiliser des formulaires papier afin de bénéficier de prestations telles que Medicaid et SNAP. De plus, la plateforme d’assurance maladie de l’État a également été affectée, ce qui a compliqué les inscriptions pendant la période d’ouverture.
Le lundi 30 décembre, les autorités de l’État ont annoncé que certains fichiers de résidents avaient été divulgués par les malfaiteurs sur un site du dark web. Il a été conseillé aux personnes susceptibles d’avoir été touchées de prendre des mesures afin de protéger leurs informations financières, telles que geler leur crédit, demander des alertes en cas de fraude et utiliser l’authentification multifactorielle (MFA) sur tous leurs comptes.
Conseil des parcs et loisirs de Minneapolis
Le 20 novembre 2024, le Conseil des parcs et loisirs de Minneapolis (MPRB) a subi une cyberattaque attribuée au groupe de ransomware RansomHub. L’attaque a entraîné une panne téléphonique à l’échelle du système, perturbant les canaux de communication. Au 30 décembre, les lignes téléphoniques étaient toujours hors service, et des numéros temporaires avaient été mis en place pour permettre au public de contacter l’organisme.
RansomHub a revendiqué cette attaque et déclaré détenir environ 235 Go de données sensibles, notamment des documents financiers, des certificats d’assurance et des informations personnelles sur les employés. En réponse à cette attaque, le MPRB a conseillé au public d’utiliser d’autres moyens de communication, tels que le 911 pour les urgences et l’adresse e-mail info@minneapolisparks.org pour les questions administratives.
Hoboken, New Jersey
En novembre 2024, la ville de Hoboken, dans le New Jersey, a été victime d’une attaque par ransomware qui a perturbé tous les services numériques de la ville, entraînant la fermeture de la mairie et la suspension des services municipaux et du nettoyage des rues.
La ville a collaboré avec les forces de l’ordre fédérales, le département de police de Hoboken et des spécialistes tiers pour enquêter et rétablir les services. Début décembre, la plupart des services en ligne, notamment la vente de permis de stationnement, étaient opérationnels, même si certains systèmes, tels que la messagerie électronique et le Wi-Fi, ont mis plus de temps à être rétablis. La ville n’a pas révélé si une organisation cybercriminelle avait revendiqué l’attaque. Cet incident fait suite à d’autres cyberattaques dans le New Jersey, notamment celle menée récemment contre American Water Works Company, qui a perturbé les systèmes de facturation, et une autre menée en juillet contre la New Jersey City University par le groupe de ransomware Rhysida, qui a causé d’importantes perturbations avant la rentrée scolaire.
Canton de White Lake, Michigan
Le canton de White Lake, dans le comté d’Oakland, a été victime en novembre d’une cyberattaque sophistiquée qui a compromis une transaction financière liée à une nouvelle émission d’obligations d’infrastructure. Cet incident a entraîné la suspension temporaire du projet de centre civique de 35 millions de dollars, qui comprend la construction d’une nouvelle mairie et d’un centre de sécurité publique.
Les autorités fédérales et les institutions financières touchées mènent actuellement une enquête approfondie sur cette violation, en coordination avec le service de police du canton. Ce dernier procède également à un examen complet de ses systèmes et procédures internes afin de renforcer ses mesures de cybersécurité.
Éducation
Voici quelques exemples de cyberattaques récentes dans le secteur de l’éducation.
Écoles communautaires de Wayne-Westland
Début décembre, les écoles communautaires de Wayne-Westland, dans le Michigan, ont été confrontées à une série de perturbations, notamment une cyberattaque à l’échelle du district qui a paralysé les services Internet et téléphoniques, un confinement de l’école en raison d’un incident policier à proximité et une menace ayant conduit à la fermeture de l’établissement. Ces événements ont suscité la frustration des parents, certains ayant choisi de garder leurs enfants à la maison pour des raisons de sécurité et en raison du manque de communication de la part du district. Lanisha Streeter, une mère de famille, a déclaré : « Je n’ai aucune idée de ce qui se passe actuellement », soulignant le manque d’informations claires.
En réponse, le district a mis en place d’autres moyens de communication, tels que l’utilisation de téléphones portables et la mise en place de points d’accès Wi-Fi dans les bureaux des écoles. À la mi-décembre, le district a commencé à rétablir l’accès à Internet, et les enseignants ont exprimé leur soulagement lorsque la situation est revenue à la normale. L’enquête sur la cyberattaque est en cours, et les autorités estiment qu’aucune donnée concernant les élèves n’a été compromise.
Écoles de Marysville
Les écoles de Marysville, dans l’Ohio, ont été victimes d’un incident de cybersécurité en octobre, qui a entraîné l’annulation des cours le lundi 28 octobre. Les écoles ont rouvert le mardi 29 octobre, mais les enseignants et le personnel avaient un accès limité à leurs e-mails et les téléphones des bureaux ne fonctionnaient pas correctement. Le district a mis en œuvre son plan de réponse aux incidents, impliquant les forces de l’ordre fédérales et une équipe de spécialistes en informatique. L’enquête est toujours en cours, et les responsables du district ont souligné que le respect de la confidentialité et la sécurité des élèves et du personnel étaient une priorité absolue.
Protégez-vous contre les cyberattaques avec Keeper Security
La solution de gestion des accès privilégiés (PAM) de Keeper Security, qui bénéficie des autorisations FedRAMP et StateRAMP, permet aux organismes publics de toutes tailles de renforcer leurs défenses en matière de cybersécurité en offrant une protection inégalée des mots de passe, des identifiants et des secrets, grâce à une architecture zero trust et zero knowledge. L’administration déléguée et les politiques d’application basées sur les rôles offrent aux administrateurs de système une visibilité et un contrôle complets sur la protection des identités et les risques au sein de leur organisation.
Découvrez comment Keeper peut protéger les données critiques de votre organisation. Demandez une démonstration dès aujourd’hui.
