“Le niveau général de la menace se maintient en 2022 avec 831 intrusions avérées contre 1082 en 2021”, écrit l’ANSSI dans son rapport annuel, publié en février. En soulignant que ce nombre inférieur “ne saurait être interprété comme une baisse du niveau de la menace”.
DES CAPACITÉS D’ATTAQUE AMÉLIORÉES POUR SERVIR LES MÊMES OBJECTIFS
Les structures importantes étant mieux protégées, les attaquant les délaissent (à l’exception des hôpitaux) pour se concentrer sur un “ciblage périphérique” : “Les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l’écosystème plus large de leurs cibles finales.”
“La convergence des outils et techniques des différents profils d’attaquants se poursuit en 2022”, relève l’ANSSI, ce qui pose “des difficultés de caractérisation de la menace”, puisque “les attaquants étatiques poursuivent l’utilisation de codes et de méthodes traditionnellement employés dans le milieu cybercriminel”. C’est le cas des rançongiciels, employés afin de saboter les structures informatiques et déstabiliser leurs adversaires, ce qu’a subi l’Albanie de la part de l’Iran en juillet.
Devant le gain financier et la déstabilisation, c’est l’espionnage informatique qui demeure la catégorie de menace ayant le plus sollicité les équipes de l’ANSSI en 2022, avec la Chine en toile de fond. “Comme en 2021, la majorité des cas d’espionnage informatique traités par l’agence impliquait de nouveau des modes opératoires associés en source ouverte à la Chine”, soit 9 des 19 opérations de cyberdéfense pour incidents majeurs effectuées en 2022. “Ces intrusions répétées de modes opératoires étrangers témoignent d’un effort continu pour s’introduire dans les réseaux d’entreprises stratégiques françaises.”
LA RUSSIE PRIVE DES MILLIERS DE FRANÇAIS DE MOYENS DE COMMUNICATION
Quant à l’invasion russe en Ukraine, elle “a fourni un contexte propice à l’augmentation des actions de déstabilisation en Europe. L’ANSSI a observé des attaques par déni de service distribué, par sabotage informatique ainsi que des opérations informationnelles s’appuyant sur des compromissions de systèmes d’information.”
Même si les sabotages ont été surtout circonscrits à l’Ukraine, une opération attribuée à la Russie par le Service européen d’action extérieure a eu des conséquences en France : dans la nuit du 23 au 24 février 2022, l’attaque d’équipements au sol du réseau satellitaire KA-SAT de l’entreprise américaine Viasat “a privé plusieurs milliers de citoyens français résidant en zones blanches de moyen de communication avec les services d’urgence et de secours. Des structures publiques ainsi que de nombreuses entreprises qui utilisaient ce service ont également été affectées. Le retour à un fonctionnement nominal a pu prendre jusqu’à plusieurs mois pour certains clients français.”
LES MÊMES FAIBLESSES TOUJOURS EXPLOITÉES
Côté cibles, comme l’année précédente, les entreprises petites et moyennes (TPE, PME et ETI) restent la première catégorie d’objectifs d’attaques par rançongiciels, mais leur part dans l’ensemble des entités visées a baissé de 51% à 40%. Au détriment surtout des collectivités territoriales et locales, qui passent de 19% à 23%, et des établissements publics de santé, qui bondissent de 3% à 10%. 6% de ces attaques en 2022 ont concerné des entreprises stratégiques, qui sont évidemment ciblées à des fins d’espionnage.
Ainsi, relate le rapport, “durant le premier semestre 2022, l’ANSSI a traité la compromission en profondeur du système d’information d’un fournisseur spécialisé du secteur de la défense, dont le savoir-faire est en mesure de susciter l’intérêt d’un gouvernement étranger”. Le fournisseur en question n’est pas nommé.
“Les usages numériques non maîtrisés et les faiblesses dans la sécurisation des données continuent d’offrir de trop nombreuses opportunités aux attaquants”, déplore l’ANSSI. “Le recours au Cloud et l’externalisation de services auprès d’entreprises de services numériques, lorsqu’ils ne s’accompagnent pas de clauses de cybersécurité adaptées, représentent une menace importante.”
Tout comme les attaques visant la chaîne d’approvisionnement (supply chain) des cibles, qui constituent “un risque systémique”. Enfin, le fait que “de nombreuses organisations n’appliquent pas à temps les correctifs sur les vulnérabilités découvertes” laisse aux attaquants l’opportunité de les exploiter.
QUELLES SOLUTIONS POUR Y FAIRE FACE ?
Pour faire face à la cybermenace, l’ANSSI préconise d’appliquer rigoureusement les recommandations de son “guide d’hygiène informatique” et, bien sûr, d’effectuer tout aussi assidûment les mises à jour de son système. La lutte passe aussi par la sensibilisation des équipes des différentes entités susceptibles d’être ciblées, et des particuliers.
C’est l’une des missions de l’agence, qu’elle assure aussi par le biais de la plateforme grand public Cybermalveilance.gouv.fr, présidée par le directeur de l’ANSSI. Son rapport d’activité, dévoilé le 23 mars, détaille toutes les formes d’attaque signalées par les internautes français. Nouveautés de ce cru 2022, les arnaques aux faux conseillers bancaires et au faux RIB.
Les équipes de cette plateforme de signalement et d’assistance sont aussi intervenues pour former la première e-compagnie de gendarmerie française, dont la formation s’est terminée le 24 février 2022 à l’école de gendarmerie de Chaumont. Trois nouvelles e-compagnies devaient être formées dans la promotion suivante. Un moyen de mieux diffuser la culture numérique et celle de la cybersécurité.
En conclusion, le nouveau directeur général de l’ANSSI, Vincent Strubel, nommé début janvier, lance un avertissement : “Alors que la France se prépare à accueillir des événements majeurs tels que la Coupe du monde de rugby en 2023 et les Jeux olympiques et paralympiques de Paris en 2024, nous devons renforcer la vigilance et la responsabilité de chacun, pour faire face tous ensemble à cette menace.”
