Panorama des cyber-menaces 2022 de L’ANSSI : Des cyber-menaces toujours élevées et qui touchent tout le monde

Le nouveau directeur général de l’ANSSI Vincent Strubel avec son équipe ont présenté ce matin leur panorama de la cyber-menaces en 2022. Au final la cybermenace est polymorphe, virulente et touche tout le monde du grand compte à la TPE.

Vincent Strudel et Mathieu Feuillet

Pour sa première conférence suite à sa nomination Vincent Strubel a rendu un hommage à son prédécesseur Guillaume Poupard. En préambule il a expliqué que la menace avait une persistance intense, qu’elle n’épargne plus personne y compris les TPE et les PME, les hôpitaux… mais qu’elle peut être contrôlée grâce à des mesures simples. Il a rajouté que la menace d’espionnage était présente et qu’elle touchait tout type d’entreprise. Elles sont attribuées principalement aux acteurs chinois. Enfin, le dernier type de menace concerne le sabotage avec l’intervention d’États comme on l’a vu avec l’attaque sur les réseaux de satellites qui a rayonné sur toute l’Europe. Cette attaque a été attribuée à la fédération de Russie. Pour lui ses attaques sont du souvent à des serveurs non patchés suite à des vulnérabilités découvertes depuis plusieurs années.

Il a rappelé que l’ANSSI a fait de l’imputation mais ne fait pas d’attribution suite à une attaque. En conclusion il a été expliqué que la vigilance devrait être renforcée avec l’arrivée d’événements sportifs majeurs comme la coupe du monde de rugby où les jeux Olympiques.

Vers la convergence des outillages, un ciblage d’équipement périphérique et des acteurs privés

Le nombre d’incidents traités par l’ANSSI a diminué entre 2021 et 2022, même si globalement le nombre d’attaques a augmenté.

Pour ce qui concerne l’amélioration des capacités des attaquants sur une convergence des outillages, un ciblage d’équipement périphérique et des acteurs privés toujours très actifs. Pour l’outillage ils ont souvent pour source des États comme par exemple la fédération de Russie. On remarque une prolifération des outils pour faire des tests de pénétration qui sont détournés par des attaquants. Ainsi du point de vue des défenseurs, ils doivent modifier leur système de défense pour s’adapter à ces nouveaux types d’attaques.

Concernant les périphériques, les réseaux d’anonymisation, les attaquants utilisent des routeurs non conservés. Il a donné l’exemple d’une entreprise internationale qui utilisait des passerelles « chiffrantes », l’attaquant avait trouvé une solution pour s’introduire en les utilisant aux fins d’espionnage.

Enfin pour les acteurs privés il a cité le cas des détournements des solutions de NSO par certains clients. D’autres entreprises fournissent des services de pirates informatiques pour effectuer des missions d’espionnage soit via des États soit pour le compte d’entreprises concurrentes.

Puis Vincent Strubel a laissé la parole à Mathieu Feuillet, sous-directeur Opérations de l’ANSSI qui a détaillé les cybermenaces de 2022.

Pour lui, les gains financiers, l’espionnage et la déstabilisation restent les principaux objectifs des groupes de cybercriminels.

L’ANSSI a noté une diminution des ransomwares qu’elle a traité entre 2021 et 2022 en passant de 203 à 109. Cependant sur l’ensemble du pays il note une recrudescence de ce type de cyberattaques. Ceci s’explique entre autre par la guerre en Ukraine qui a réorienté les activités des pirates informatiques. Les premières cibles restent toujours les PME, TPÉ, les ETI et les hôpitaux. Par contre, l’ANSSI remarque qu’elle peut-être moins de remontée du fait des actions des acteurs extatiques en régions.

Mathieu Feuillet a rencontré en avant les cryptominages actifs qui ont développé des systèmes de masquage pour rester plus longtemps dans les systèmes.

En ce qui concerne l’espionnage, les activités se maintiennent à un niveau élevé et ciblent beaucoup mieux l’écosystème. Les attaquants ciblés par les ETI des PME sous-traitants de grands comptes. Ces attaques sont plus difficiles à repérer. Le contexte russo-ukrainien renforce cette tendance.

Enfin on a vu de plus de nombreuses attaques d’Hacktivistes qui ont un impact modéré si ce n’est des défigurations de site… par contre il y a une attaque du satellite Casat qui a touché non seulement l’Ukraine mais aussi l’Europe et en particulier la France. Des zones blanches sont apparues et des équipements ont dû être remplacés. Autre exemple, un système gazier aux Pays Bas a subi un début d’attaque identifié par un éditeur de solutions de sécurité.

Mathieu Feuillet considère qu’il faut particulièrement sensibiliser les entreprises à la nécessité

de patcher vite pour se prémunir contre les cyberattaques. Les serveurs virtuels doivent être particulièrement protégés ainsi que leur superviseur. Les applications Cloud deviennent une cible de choix donc il faut absolument remplacer les systèmes d’authentification.

La divulgation de données est extrêmement prégnante et elle peut donner lieu à des opérations de phishing.

Il y a deux types de menace : les attaques opportunistes qui peuvent-être parées grâce à une bonne hygiène informatique. Pour les acteurs sensibles, ils doivent être au meilleur de l’état de l’art. Suite à l’entrée de la directive NIS 2, leur niveau de sécurité devrait être renforcé.

Concernant les ransomwares, l’ANSSI recommande de ne pas payer la rançon, l’ANSSI a édité un guide qui pousse les entreprises entre autre de faire des sauvegardes hors lignes.