Image : Benjamin Terrasson/Century Digital.
La cybercriminalité « affecte tout le monde ». Vincent Strubel, directeur général de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), propose ce rappel depuis le début du mois. L’agence a présenté la deuxième édition de son Cyber Threat Review, couvrant l’année 2022, le 24 janvier au Campus Cyber.
La cybercriminalité est opportuniste, les PME, TPE et ETI des cibles de choix
D’un point de vue strictement comptable, les nouvelles concernant le nouveau directeur général semblent bonnes : 831 intrusions vérifiées ont été signalées à l’agence, contre 1 082 l’an dernier. En réalité, le risque est encore élevé. Le rôle de l’ANSSI est de traiter les cas les plus graves affectant les secteurs stratégiques. De nombreuses attaques ne lui sont pas signalées, d’autant plus que l’écosystème se structure en réponse à une menace. Mathieu Feuillet, directeur adjoint des opérations, rapporte que les incidents traités par l’ANSSI sont moins nombreux mais plus critiques.
La vigilance et le niveau de sécurité des systèmes d’information doivent encore être accrus. Par exemple, l’agence regrette que les failles de sécurité corrigées en 2021 puissent encore être exploitées par n’importe quel cyber-attaquant. Mathieu Feuillet note que lorsqu’une entreprise comme Microsoft sort un correctif pour combler une faille dans l’un de ses services « en quelques heures, jours », les attaques se multiplient. D’où la nécessité de réagir extrêmement vite lors de vos alertes, identifiée notamment par le CERT-FR.
Une attention constante doit également être portée aux nouvelles pratiques dans le processus de démocratisation des entreprises, telles que l’utilisation de solutions de visualisation, le cloud computing ou l’externalisation des systèmes informatiques. Ce sont tous des vecteurs d’intrusion supplémentaires pour les entités malveillantes.
Parmi les menaces constatées par l’ANSSI en 2022, il y a eu peu de nouveautés, mais les tendances de l’année précédente se sont renforcées.
Les ransomwares continuent d’occuper le haut du panier. Selon l’ANSSI et d’autres acteurs de terrain, leur nombre a diminué au premier semestre 2021. L’invasion de l’Ukraine par la Russie a perturbé la communauté cybercriminelle. Certains groupes ont pris fait et cause pour tel ou tel belligérant, tandis que d’autres ont préféré concentrer leurs attaques sur différentes zones géographiques. Les actions de la justice et de pays comme les États-Unis traitant la question comme une question de sécurité nationale peuvent avoir contribué à ce déclin. Cependant, le nombre de ransomwares a recommencé à augmenter en septembre et la dynamique devrait se poursuivre.
Les pirates préfèrent désormais multiplier leurs actions contre les petites organisations, ils sont donc moins susceptibles de provoquer une forte réaction. C’est tout le sens des mots de Vincent Strubel, toutes les entités peuvent être attaquées. Les PME, TPE et ETI rassemblent 40% des attaques, suivies des collectivités territoriales (23%) et des établissements de santé les plus médiatisés 10%. Les ransomwares peuvent être utilisés comme couverture pour des opérations étatiques plus larges, mais ils restent principalement opportunistes à des fins lucratives. Même les petites structures doivent prendre des mesures pour se protéger. Selon l’analogie de Mathieu Feuillet, il ne s’agit pas d’aller plus vite que le prédateur, mais plus vite que l’autre proie.
L’ANSSI cite d’autres risques liés à la cybercriminalité. Parmi eux se trouve le phishing, ces e-mails qui se font passer pour une institution pour amener la victime à cliquer sur des liens compromis. Pour atteindre cet objectif, l’assurance maladie a pris le pas sur les impôts. Le minage de crypto fait également son retour. Il consiste à exploiter la puissance de calcul de la cible pour miner des cryptomonnaies. Une technique aujourd’hui moins identifiable est aussi très rentable. L’agence connaît des groupes qui ont décidé de se concentrer uniquement sur ce type d’activité, pour suivre cette tendance.
L’ANSSI prévient que la menace reste élevée
Le cyberespionnage reste au centre de la mission de l’ANSSI. De nature plus discrète, cette menace « a le plus mobilisé les équipes », note l’agence. Vincent Strubel a demandé qu’il soit rappelé que ce n’est pas la prérogative de ses équipages d’attribuer, c’est-à-dire de désigner un pays tenu pour responsable de la piraterie. Cette décision est politique et relève donc du pouvoir de l’homme politique. Pourtant, il y a un espace de jeu dans lequel le réalisateur s’est inséré. Ce dernier a rapporté: « Près de la moitié des opérations de cyberdéfense de l’agence en 2022 impliquaient un mode opératoire open source lié à la Chine. » Il y a un an, le F.B.I. a déjà blâmé Pékin pour la plupart des cyberattaques subies par les États-Unis.
Lorsque le cyberespionnage est dirigé vers des cibles d’intérêt, les informations peuvent être recueillies à différents niveaux de la chaîne d’approvisionnement. C’est une tendance déjà existante, qui s’est également confirmée en 2022. Les cibles possibles sont les fournisseurs des opérateurs stratégiques, leurs prestataires de services ou encore les autorités de tutelle.
Les derniers points abordés par le panorama de la cybermenace sont principalement liés aux tentatives de déstabilisation et de sabotage de l’État. La France a été plutôt épargnée comme cible, mais a dû subir les conséquences des attentats menés dans le cadre de la guerre d’Ukraine. Il s’agit principalement du réseau de communications par satellite de Viasat, KA-SAT, qui a été attribué à la Russie par l’Union européenne au début du conflit.
L’ANSSI se dit particulièrement vigilante sur ce type d’activité, notamment dans le secteur de l’énergie. Les sanctions européennes contre l’Ukraine ont provoqué la fermeture des robinets de gaz et de pétrole russes, entraînant une crise énergétique dans l’UE. Qui dit crise, dit situation tendue, dit opportunité pour les pirates. L’agence rapporte des renseignements ciblant un terminal GNL aux Pays-Bas. Il évoque une « menace crédible de déstabilisation informatique dans ce contexte ». La guerre a également accru les activités de hacktivisme, illustrées par l’armée informatique ukrainienne. Ses actions sont techniquement faibles et leur impact est limité.
Comme l’année dernière, l’ANSSI a un message pour les entreprises de toutes tailles : pratiquer une bonne hygiène informatique, sensibiliser les collaborateurs et avoir la capacité d’identifier et de traiter les incidents. La plupart des cyberattaques à but lucratif sont opportunistes, ça suffit. Les organisations plus stratégiques, dont le nombre augmente avec la directive européenne Sécurité des réseaux et des systèmes d’information (NIS 2), doivent encore augmenter le niveau de sécurité. Vincent Strubel prévient : « Alors que la France se prépare à accueillir des événements majeurs comme la Coupe du monde de rugby en 2023 et les Jeux olympiques et paralympiques à Paris en 2024, nous devons renforcer la vigilance et la responsabilité de chacun.