Il est six heures du matin lorsque le standard d'une commune du moyen pays des Alpes-Maritimes reçoit son premier appel de l'année : plus rien ne fonctionne. Les cadres techniques découvrent, dans la nuit, un message glaçant sur les écrans du service urbanisme : l'ensemble des fichiers ont été chiffrés, et une rançon est demandée en cryptomonnaie.
Cette scène, la Côte d'Azur en a vécu au moins vingt-trois variantes en dix-huit mois, d'après les chiffres compilés par Megaoctet à partir de sources hospitalières, municipales et industrielles. La plupart n'ont jamais été rendues publiques. Toutes ont laissé des traces.
Un territoire attractif… aussi pour les attaquants
La densité économique de la Riviera française — tourisme haut de gamme, industries de défense, laboratoires de recherche, cabinets de conseil, offices notariaux — en fait une cible de choix. « Nous voyons des attaquants qui cartographient méthodiquement les PME du bassin sophipolitain, en profitant du fait qu'elles utilisent souvent les mêmes prestataires informatiques régionaux », explique un responsable cyber de la préfecture, qui a souhaité rester anonyme.

La technique la plus fréquente reste le rançongiciel « classique » : un email piégé, un identifiant compromis, une latéralisation dans le réseau, puis le chiffrement massif des serveurs. La demande de rançon oscille, dans les cas documentés, entre 40 000 et 800 000 euros.
Le silence, principal allié des attaquants
Peu d'organisations acceptent de témoigner. La honte, la peur du regard des clients, l'inquiétude des assureurs et parfois les enquêtes judiciaires en cours dissuadent la parole publique. Résultat : la plupart des attaques n'apparaissent nulle part.
« Le premier service que nous rendons à nos adhérents, c'est le droit de parler entre eux, à huis clos. Sans cela, aucun apprentissage collectif n'est possible. »
Plusieurs initiatives, portées par l'ANSSI en région et par les CCI de Nice-Côte d'Azur et du Var, tentent d'organiser une remontée d'incidents anonymisée. Elles se heurtent à la fragmentation de l'écosystème et à un déficit criant de compétences internes chez les cibles principales.
Que faire lundi matin ?
Les responsables interrogés convergent sur trois priorités : sauvegarder hors ligne, généraliser l'authentification à deux facteurs, et mettre à niveau la culture cyber des dirigeants eux-mêmes, souvent identifiés comme le maillon le plus attaqué.
« Nous ne parlons plus d'accidents mais de risque courant, comme le vol ou l'incendie. Cela suppose une comptabilité du risque, une gouvernance, et des exercices », résume la directrice cyber d'un grand groupe azuréen. Le sujet, longtemps technique, devient politique.
Cet article vous a intéressé ?


