Aux grands maux les grands remèdes. Voilà une expression que la ville de Nouvelle-Orléans n'a pas hésité à faire sienne vendredi dernier. Après avoir identifié les signaux d'une cyberattaque sur ses systèmes d'information, le DSI de la ville de l'Etat de Louisiane, Kim Lagrue, a pensé dans un premier temps à une infection par ransomware. Prévenue, La maire LaToya Cantrell a dans la foulée décrété l'Etat d'urgence en considérant la situation comme un incident de cybersécurité. « Toutes les ressources disponibles de la ville de Nouvelle-Orléans, ses conseils et agences ont pour ordre d'être réquisitionnées et utilisées par l'autorité d'urgence dans le but de fournir ou de faciliter les services d'urgence dans la mesure où cela est nécessaire pour faire face à l'urgence actuelle », peux-t-on lire dans un tweet officiel de la ville.

Ce n'est pas la première fois qu'un tel arsenal ultime de mesures et prérogatives de sécurité est déployé. Cela avait déjà été le cas l'été dernier avec la décision du gouverneur de la Louisiane d'appliquer l'Etat d'urgence à l'échelle de tout le pays en réponse à une vague de ransomware ayant touché trois districts scolaires. Pour autant, cette fois, la situation n’apparaît en rien comparable. Dès samedi, Kim Lagrue a indiqué qu'aucune donnée n'a été soumise à rançon et qu'une opération de récupération a été lancée. Un peu plus tard, le DSI de la Nouvelle-Orléans a même décrit cette attaque comme étant « minimale » et que 4 000 ordinateurs et 400 serveurs ont été nettoyés par précaution. Le malware a-t-il été stoppé avant de se répandre sur les réseaux et infecter les terminaux ? 

Une analyse de risques pas vraiment adaptée ?

« Le problème des attaques de ransomwares est qu'elles ne sont pas toujours immédiatement visibles », a expliqué Colin Bastable, CEO de la société de formation à la sensibilisation à la sécurité Lucy Security AG. « Les attaquants peuvent avoir besoin de naviguer depuis leur point d'entrée initial - généralement via un e-mail de phishing - jusqu'aux systèmes et données pour chiffrer. L'attaque peut être non détectée pendant un temps relativement long avant d'être déclenchée. Cette attaque a peut-être été lancée en parallèle avec la récente attaque de Louisiane ». Sans remettre en cause la légitimité de mettre en place un plan de réponse à un cyberattaque, ce dernier ne nécessite-t-il pas a priori d'être adapté en évaluant clairement les risques ? Le cas échéant employé l'Etat de l'urgence dans des circonstances ne le justifiant pas nécessairement ressemble davantage à utiliser un canon contre une souris.