Les 5 principales cyberattaques gouvernementales et ce qu'il faut en retenir

Au cours du deuxième trimestre 2025, les organisations du secteur public du monde entier ont subi en moyenne 2 632 cyberattaques hebdomadaires chacune, ce qui représente une augmentation de 26 % d'une année sur l'autre. Voici les cinq plus grandes cyberattaques de ces dernières années qui ont eu de graves répercussions sur les activités, la confiance et la sécurité des gouvernements :

1. SolarWinds

La cyberattaque SolarWinds a touché plus de 18 000 organisations des secteurs privé et public dans le monde entier et est considérée comme l'une des attaques de la chaîne d'approvisionnement les plus graves et les plus sophistiquées de l'histoire de la cybersécurité. Les entreprises touchées ont payé de lourdes amendes réglementaires, ont fait l'objet de poursuites judiciaires, ont perdu la confiance de leurs clients et ont même subi des pertes estimées entre 8 et 14 % de leur chiffre d'affaires annuel.

Comment cela s'est produit

• Les attaquants ont inséré un code malveillant dans des mises à jour légitimes de la plateforme de gestion informatique SolarWinds Orion, signées numériquement et distribuées via des canaux de confiance.
• Ils ont également utilisé des informations d'identification compromises et des jetons d'authentification fédérée pour contourner les mesures d'authentification multifactorielle et se déplacer latéralement.
• Ils ont ensuite déployé des logiciels malveillants plus sophistiqués dans les réseaux de cibles de premier plan.

Ce qui a mal tourné

• L'attaque est passée inaperçue pendant près d'un an - de septembre 2019 à décembre 2020.
• De nombreuses entreprises n'avaient pas mis en place les mécanismes nécessaires pour détecter des schémas inhabituels dans les logiciels de confiance.
• Une fois l'attaque détectée, la réponse initiale a été fragmentée et désorganisée.
• Certaines agences fédérales ne disposaient pas de protocoles permettant un partage rapide des informations et un effort de réponse coordonné.
• De nombreuses organisations ont eu du mal à identifier et à traiter tous les artefacts malveillants et les portes dérobées.

2. Le pipeline colonial

En mai 2021, le groupe de pirates informatiques DarkSide a lancé une attaque par ransomware contre Colonial Pipeline, fermant le pipeline qui fournissait du carburant à la côte est des États-Unis. Cette attaque a provoqué une pénurie généralisée, une hausse soudaine des prix, des perturbations dans les transports aériens et la chaîne d'approvisionnement.

Comment cela s'est produit

• Les pirates ont exploité un compte de réseau privé virtuel (VPN) inactif qui ne disposait pas de mesures d'authentification multifactorielle. Ils ont utilisé un mot de passe divulgué sur le dark web.

Ce qui a mal tourné

• Cet incident a mis en évidence les risques posés par les points d'accès à distance anciens et non sécurisés.
• L'attaque est restée longtemps indétectée et l'entreprise a été prise au dépourvu par une telle crise, sans options de redémarrage manuel ou rapide pour minimiser les perturbations.

3. Violation du département du Trésor américain

En 2024, des acteurs menaçants ont accédé à plus de 3 000 fichiers de hauts fonctionnaires et les ont exfiltrés.

Comment cela s'est produit

• Des pirates informatiques, qui seraient des acteurs parrainés par l'État chinois, ont exploité deux vulnérabilités de type "jour zéro" dans une plateforme d'assistance à distance pour accéder aux réseaux du département du Trésor américain.

Ce qui n'a pas fonctionné

• Le fournisseur tiers n'a informé le Trésor que six jours après avoir découvert la faille, ce qui a permis aux pirates d'étendre la portée de l'intrusion.
• Une surveillance insuffisante des intégrations tierces a permis aux pirates de se déplacer dans les systèmes du Trésor sans être détectés.
• L'utilisation de clés API statiques ou mal protégées a permis une escalade des privilèges sans contrôle secondaire, créant ainsi un point de défaillance unique.

4. Violation du ministère français de la justice

Il s'agit d'une attaque de plus grande envergure qui a touché jusqu'à 2 000 sites web gouvernementaux. Les auteurs de la menace ont crypté des fichiers et volé des documents judiciaires sensibles. Ils ont également menacé de divulguer les documents si leurs demandes de rançon n'étaient pas satisfaites.

Comment cela s'est produit

• Les attaquants ont utilisé le ransomware Lockbit pour percer les défenses du ministère. Le ministère n'a pas divulgué publiquement les détails de l'intrusion.

Ce qui a mal tourné

• Les premières déclarations du ministère ont reconnu l'incident mais n'ont pas fourni de détails opérationnels sur son étendue ou sur les efforts d'atténuation.
• Les services ont été rétablis après un temps d'arrêt important et une perturbation du public.

5. Violation des données du ministère britannique de la défense

Des pirates informatiques chinois ont accédé aux réseaux du ministère britannique de la défense par des angles morts dans le système d'un contractant tiers. Ils ont accédé à des informations sensibles sur le personnel militaire, notamment des noms et des coordonnées bancaires.

Comment cela s'est produit

• Les intrus ont exploité les vulnérabilités des systèmes de l'entreprise tierce pour accéder à des fichiers et des données sensibles au sein du ministère britannique de la défense.

Ce qui n'a pas fonctionné

• Le ministère a attendu trois mois avant d'informer les parties concernées que leurs données étaient en danger.

En bref : Principales cyberattaques gouvernementales et principaux enseignements

Ce que ces attaques ont en commun

• Mauvaise communication et réponses tardives
• Systèmes informatiques fantômes
• Surveillance insuffisante et lenteur de l'endiguement de l'incident

Pourquoi Wire est un allié sûr pour les institutions publiques

La plateforme Wire utilise la norme Messaging Layer Security (MLS) pour fournir un chiffrement évolutif de bout en bout pour toutes les conversations et tous les fichiers, garantissant ainsi le plus haut niveau de sécurité pour les secteurs sensibles.

Confiance zéro - La plateforme Wire repose sur une architecture de confiance zéro et de connaissance zéro. Cela signifie qu'aucun utilisateur, appareil ou application n'est fiable par défaut et que la plateforme vérifie continuellement les utilisateurs et applique des contrôles d'accès basés sur les rôles.

Fédération - Notre plateforme utilise un modèle de fédération modérée qui offre des contrôles administratifs complets pour les déploiements à l'échelle de l'entreprise. Ce modèle réduit les erreurs humaines et garantit le respect des politiques lors des conversations à fort enjeu. Elle facilite également une meilleure communication entre des départements auparavant cloisonnés et des partenaires externes.

Support sur site - Wire peut être déployé entièrement sur site, ce qui garantit la conformité aux exigences strictes en matière de sécurité et de confidentialité. Les spécialistes de Wire fournissent une assistance complète pour l'installation et l'intégration.

De la réactivité à la proactivité : Repenser la cyber-résilience du gouvernement

• Besoins de conformité - La directive NIS2 exige des normes de cryptage renforcées, des rapports d'incidents obligatoires et la responsabilité de l'exécutif pour les fournisseurs d'infrastructures critiques.
• Outils de repli - Les outils de communication hors bande sont essentiels pour assurer une collaboration sûre et fiable en cas de perturbation.
• Chiffrement - Les outils gouvernementaux doivent utiliser un chiffrement intégral pour toutes les communications, au repos et en transit.

Conclusion

Les cyberattaques contre les systèmes gouvernementaux sont de plus en plus fréquentes et sophistiquées. En tirant les leçons des échecs passés et en investissant dans des plateformes sécurisées, conformes et modernes comme Wire, les institutions publiques peuvent transformer une vulnérabilité majeure en une force stratégique.