« Malgré une année 2022 marquée par le conflit russo-ukrainien et ses effets dans le cyberespace, la menace informatique n’a pas connu d’évolution majeure, les tendances identifiées en 2021 s’étant confirmées en 2022 » nous a dit Vincent Strubel, nouveau directeur général de l’ANSSI.

Pour autant, avec un niveau général qui reste élevé, l’ANSSI constate que la cybermenace touche de moins en moins d’opérateurs régulés et se déporte sur des entités moins bien protégées. Si le nombre d’attaques par rançongiciel portées à la connaissance de l’ANSSI a diminué, la menace d’espionnage informatique demeure prégnante.

Objectifs principaux : gain financier, espionnage et déstabilisation

• Après une accalmie lors du premier semestre 2022, la menace cybercriminelle et plus spécifiquement celle liée aux rançongiciels a connu un regain d’activités fin 2022, se maintenant alors à un niveau élevé. Cette menace cybercriminelle touche particulièrement les TPE, PME et ETI (40 % des rançongiciels traités ou rapportés à l’ANSSI en 2022), les collectivités territoriales (23 %), les établissements publics de santé (10 %), les ministères (8%), les entreprises stratégiques (6%).

• Plus furtif qu’auparavant, le cryptominage, qui permet de générer des fonds importants, réinvestis par les acteurs malveillants pour acquérir de nouvelles capacités, ne doit pas non plus être négligé.

• A l’image de 2021, la menace d’espionnage informatique est celle qui a le plus mobilisé les équipes de l’ANSSI. Près de la moitié des opérations de cyberdéfense de l’agence en 2022 impliquaient des modes opératoires associés en source ouverte à la Chine. Répétées, ces intrusions démontrent une volonté soutenue de s’introduire dans les réseaux d’entités françaises stratégiques: exemple avec une attaque en profondeur d’une entreprise faisant partie de la BITD.

Des faiblesses persistantes sans cesse exploitées

Les usages numériques non maîtrisés et les faiblesses dans la sécurisation des données continuent d’offrir de trop nombreuses opportunités aux attaquants, nous dit l’ANSSI :

• le recours au Cloud et l’externalisation de services auprès d’entreprises de services numériques, lorsqu’ils ne s’accompagnent pas de clauses de cybersécurité adaptées, représentent une menace sérieuse.

• Bien que le nombre d’attaques ciblant la chaine d’approvisionnement ou supply chain en 2022 ait quelque peu baissé, cette tendance reste forte et souligne un risque systémique.

• Enfin, les correctifs sur les vulnérabilités découvertes ne sont pas suffisamment appliqués à temps par les organisations, laissant alors le champ libre aux attaquants pour les exploiter

Des attaquants toujours plus performants

Différents profils d’attaquants continuent à user d’outils et de techniques similaires. Cette porosité complexifie la caractérisation et l’imputation des activités malveillantes. Les attaquants étatiques s’inspirent des méthodes cybercriminelles et utilisent de plus en plus de rançongiciels à des fins de déstabilisation dans le cadre d’opérations de sabotage informatique.
Le ciblage des attaquants évolue, cherchant désormais à obtenir des accès discrets et pérennes aux réseaux de leurs victimes avec la compromission d’équipements périphériques (pare-feu ou routeurs).
Ce ciblage périphérique se retrouve également dans le type d’entités compromises et confirme l’intérêt des attaquants pour les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l’écosystème plus large de leurs cibles.

Des solutions pour y faire face

L’ANSSI rappelle que, face à ces menaces, les établissements privés comme publics se doivent de prendre conscience du risque cyber à son juste niveau en adoptant les bonnes mesures pour se protéger. Afin de se prémunir des menaces les plus courantes, l’application rigoureuse d’une politique de mise à jour et du guide d’hygiène informatique, une sensibilisation régulière des collaborateurs et le développement de capacités de détection et de traitement d’incident sont indispensables.

Des mesures de bon sens rabâchées depuis quelques années qui semblent avoir du mal à pénétrer le cortex de certains responsables d’organisations publiques ou privées...

A noter

Des recommandations sont disponibles sur le site de l’ANSSI. L’actualité opérationnelle et les alertes cyber sont accessibles sur le site du CERT-FR : https://www.cert.ssi.gouv.fr

Par ailleurs, la transposition de la nouvelle directive Network and information system security (NIS 2) en droit français, au deuxième semestre 2024 au plus tard, devrait permettre d’élever le niveau de cybersécurité de milliers d’entités, allant de la PME aux entreprises du CAC40, sur a minima 18 secteurs d’activité.

Téléchargez le Panorama de la cybermenace https://www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-001

Crédits photos: ANSSI