La cybercriminalité « touche tout le monde ». Cette piqûre de rappel est offerte par Vincent Strubel, directeur général de l’Agence nationale de sécurité des systèmes d’information (ANSSI) depuis le début du mois. L’agence a présenté ce 24 janvier au Campus Cyber la 2e édition de son panorama de la cybermenace, couvrant l’année 2022.

La cybercriminalité est opportuniste, les PME, TPE et ETI des cibles de choix

D’un point de vue strictement comptable, les nouvelles du nouveau directeur général semblent bonnes : l’agence a eu connaissance de 831 intrusions avérées, contre 1 082 l’année précédente. En réalité la menace demeure élevée. Le rôle de l’ANSSI est de s’occuper des cas les plus graves, touchant des secteurs stratégiques. Beaucoup d’attaques ne lui sont pas rapportées, d’autant que l’écosystème se structure en réponse à la menace. Mathieu Feuillet, sous-directeur des opérations, rapporte que les incidents traités par l’ANSSI sont moins nombreux, mais d’une criticité supérieure.

La vigilance et le niveau de sécurité des systèmes d’information doivent encore s’améliorer. L’agence regrette, par exemple, que des vulnérabilités corrigées en 2021 soient encore exploitables par tout type de cyberattaquant. Lorsqu’une entreprise, telle que Microsoft, dévoile un patch pour combler une faille dans l’un de ses services « dans les heures, les jours qui viennent » les attaques se multiplient, note Mathieu Feuillet. D’où la nécessité de réagir extrêmement rapidement lors de ses alertes, recensées notamment par le CERT-FR.

Les nouvelles pratiques des entreprises en cours de démocratisation, comme l’utilisation de solution de visualisation, le cloud computing, ou l’externalisation de système informatique, doivent également faire l’objet d’une attention de tous les instants. Ce sont autant de vecteurs supplémentaires d’intrusion pour des entités malveillantes.

Parmi les menaces constatées par l’ANSSI au cours d’une année 2022, aucune nouveauté majeure n’a été relevée, mais des tendances de l’année précédente se sont vues renforcées.

Les rançongiciels continuent d’occuper le haut du panier. Leur nombre a diminué au premier semestre 2021 selon l’ANSSI et d’autres acteurs du milieu. L’invasion de l’Ukraine par la Russie a perturbé le milieu cybercriminel. Certains groupes ont pris fait et cause pour l’un ou l’autre des belligérants, d’autres ont préféré concentrer leurs attaques sur des zones géographiques différentes. L’action de la justice et de pays, comme les États-Unis, traitant la problématique comme un enjeu de sécurité nationale a pu contribuer à cette baisse. Le nombre de rançongiciels est toutefois reparti à la hausse en septembre et la dynamique devrait se maintenir.

graphique évolution rançongiciel

Graphique : ANSSI

Les pirates préfèrent désormais multiplier les opérations, contre des organisations moins importantes, donc moins susceptibles de provoquer une réaction forte. C’est tout le sens des propos de Vincent Strubel, toutes les entités peuvent être attaquées. Les PME, TPE et ETI concentrent 40 % des attaques, suivies par les collectivités territoriales, 23 %, et les plus médiatisées, les établissements de santé 10 %. Les rançongiciels peuvent servir de couverture à des actions étatiques plus large, mais ils restent, pour l’essentiel des actions opportunistes menées dans un but lucratif. Même les petites structures doivent prendre des mesures pour se protéger. Selon une analogie de Mathieu Feuillet, l’important n’est pas d’aller plus vite que le prédateur, mais d’aller plus vite que l’autre proie.

cibles de rançongiciels

Graphique : ANSSI

L’ANSSI évoque d’autres risques liés à la cybercriminalité. Parmi eux le phishing, ces mails qui usurpent l’identité d’institution pour faire cliquer la victime sur des liens vérolés. L’Assurance maladie a pris le pas sur les impôts pour atteindre ce but. Le cryptominage fait aussi un retour. Cela consiste à exploiter la puissance de calcul de la cible pour miner des cryptomonnaies. Moins repérable aujourd’hui, cette technique est aussi très lucrative. L’agence a connaissance de groupes ayant décidé de se focaliser uniquement sur ce type d’activité, une tendance à surveiller.

L’ANSSI prévient que la menace reste élevée

Le cœur de la mission de l’ANSSI reste le cyberespionnage. Plus discrète par nature, cette menace « a le plus mobilisé les équipes » indique l’agence. Vincent Strubel a tenu à le rappeler, il n’est pas dans ses prérogatives, ou celle de ses équipes, de faire de l’attribution, c’est-à-dire désigné un État jugé responsable d’un piratage. Cette décision est politique et relève donc de l’autorité du politique. Il existe toutefois une marge manœuvre, dans laquelle s’est inséré le directeur. Ce dernier a signalé « Près de la moitié, des opérations de cyberdéfense de l’agence en 2022 impliquaient des modes opératoires associés en source ouverte à la Chine ». Il y a un an, le F.B.I. désignait déjà Pékin comme responsable de la majorité des cyberattaques subies par les États-Unis.

Si le cyberespionnage vise des cibles d’intérêts, la récolte d’information peut être opérée à différents niveaux de la chaîne d’approvisionnement. C’est une tendance préexistante qui s’est confirmée en 2022. Les fournisseurs d’opérateurs stratégiques, leurs prestataires et même leurs autorités de tutelles, sont autant de cibles potentielles.

Les derniers points abordés par le panorama de la cybermenace touchent aux tentatives de déstabilisation et de sabotage, majoritairement venu d’État. La France a été plutôt épargnée en tant que cible, mais a dû souffrir les conséquences d’attaques menées dans le cadre de la guerre en Ukraine. Il est ici principalement question du réseau de communication satellitaire KA-SAT de Viasat, au tout début du conflit, attribué à la Russie par l’Union européenne.

L’ANSSI informe qu’elle se montre particulièrement vigilante à ce type d’actions, en particulier dans l’énergie. Les sanctions européennes contre l’Ukraine ont amené la Russie à « couper les robinets » de gaz et de pétrole, plongeant l’UE dans une crise énergétique. Qui dit crise, dit situation tendue, dit opportunité pour des pirates. L’agence signale une action de reconnaissance visant un terminal de gaz naturel liquéfié aux Pays-Bas. Elle signale une « menace de déstabilisation informatique crédible dans ce contexte ». La guerre a également accru les activités de hacktivisme, qu’illustre l’IT Army of Ukraine. Ses actions restent techniquement peu poussées et à l’impact limité.

Comme l’année précédente si l’ANSSI a un message à faire passer aux entreprises, de toute taille : adopter une bonne hygiène informatique, de sensibiliser ses collaborateurs et de disposer de capacité de détection et de traitement d’incidents. La plupart des cyberattaques à but lucratif étant opportunistes, cela suffit. Pour les organisations plus stratégiques, dont le nombre va augmenter avec la directive européenne Network and information system security (NIS 2), il faudra élever le niveau de sécurité davantage. Vincent Strubel prévient, « Alors que la France se prépare à accueillir des événements majeurs tels que la Coupe du monde de Rugby en 2023 et les Jeux olympiques et paralympiques de Paris en 2024, nous devons renforcer la vigilance et la responsabilité de chacun ».