Tout le monde peut être la cible de cyberattaques, même les autorités
L'attaque peut par exemple mettre hors ligne un site Internet ou toucher l'ensemble du réseau. Outre les dommages financiers, dans certains cas des informations confidentielles tombent entre de mauvaises mains. Avec des conséquences gravissimes: perte de données, suppression de systèmes, actions en dommages-intérêts pour violation de la protection des données ou atteinte à la réputation en sont quelques exemples.
Afin d'infiltrer les systèmes informatiques, les pirates induisent en erreur les collaborateurs de l'autorité touchée afin qu'ils fassent quelque chose qu'ils ne feraient pas d'eux-mêmes. Il s'agit de les inciter à ouvrir une pièce jointe à un courriel, à cliquer sur un lien, à indiquer des données personnelles, telles que mots de passe, ou à effectuer un versement.
Méthode courante : manipulation sociale
Une méthode courante s'appelle manipulation sociale (social engineering). Au préalable, les pirates s'informent de multiples manières sur la structure administrative, organisationnelle ou entrepreneuriale. C'est possible grâce aux informations publiées sur le site Internet de l'administration communale ou les réseaux sociaux par exemple. Ils cherchent ensuite une «cible» qu'ils confrontent à un scénario sur mesure. Les pirates cherchent par exemple à obtenir les noms d'utilisateur et mots de passe en se faisant passer au téléphone pour un collaborateur ou une collaboratrice d'une entreprise de logiciel. Sous prétexte de graves problèmes informatiques et en feignant de connaître l'entreprise, ils désorientent la personne visée jusqu'à ce qu'elle divulgue les informations souhaitées. Dans leurs courriels ou durant leurs appels, les pirates empruntent parfois également le nom d'une unité administrative, comme les contributions ou les fournisseurs d'énergie.
