Cybersécurité : bilan des menaces, nature des attaques et recommandations de l’ANSSI

Dans son Panorama de la menace informatique, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) présente un état des lieux des menaces qui ont marqué l’année 2021 et les risques à venir à court terme. Dans un contexte de démocratisation des usages numériques, portés par la pandémie et les différents confinements, le bilan des cyberattaques est en forte hausse. L’ANSSI rapporte que le nombre d’intrusions avérées qui lui ont été signalées a augmenté de 37 % entre 2020 et 2021, passant de 786 à 1 082 l’an dernier, soit près de 3 attaques survenues par jour en moyenne.

Cette hausse s’explique par l’évolution et l’amélioration constante des capacités des acteurs malveillants dont les principales intentions restent le gain financier, l’espionnage et la déstabilisation. Ces acteurs ont su saisir une multitude d’opportunités offertes par la généralisation d’usages numériques souvent mal maîtrisés.

Une vigilance particulière est par conséquent nécessaire dans le cadre d’évènements majeurs en France, tels que la présidence française de l’Union européenne, les élections présidentielles et législatives en 2022 et les Jeux Olympiques de Paris 2024, qui sont autant d’opportunités contextuelles à exploiter pour des attaquants, précise l’ANSSI.

La nature des cyberattaques qui ont touché les entreprises en 2021

Dans son rapport, l’ANSSI présente les différents types de menaces informatiques auxquelles les entreprises et les organisations ont dû faire face en 2021.

Espionnage informatique, ciblage d’infrastructures critiques et actions de déstabilisation

Voici les 3 menaces informatiques majeures qui ont été détectées en 2021 :

• Les campagnes d’espionnage et de sabotage informatique : désignées comme « particulièrement préoccupantes» par l’ANSSI, ces opérations constituent le risque n°1 pour les acteurs institutionnels comme privés. Elles représentent le principal objectif affiché par les attaquants réputés étatiques, et sont à l’origine de la majorité des opérations de cyberdéfense réalisées par l’agence.
• Le ciblage d’infrastructures critiques : si les cybercriminels ont tendance à rester discrets pour éviter de trop s’exposer aux réponses répressives (arrestation, démantèlement), ce type de menace est notamment observé lors des périodes où les tensions géopolitiques sont les plus fortes.
• Des actions de déstabilisation : ce type d’attaque, qui démarre par des compromissions informatiques, a pour objectif de déstabiliser une organisation, une personne ciblée ou un État, en exfiltrant des documents confidentiels et en obtenant des accès initiaux. L’ANSSI révèle que 39 divulgations de données lui ont été remontées en 2021.

Que ce soit dans le cadre d’opérations d’extorsion, d’espionnage, d’influence ou de déstabilisation, les attaquants bénéficient pleinement de la fragilité des infrastructures numériques, constate l’ANSSI.

Quid des rançongiciels ?

Alors qu’ils ont fait la une de l’actualité ces derniers mois, l’agence note que la menace liée aux rançongiciels s’est stabilisée, même s’ils restent encore à un niveau « très élevé ». 203 cyberattaques de ce type ont été traitées par l’ANSSI en 2021, contre 192 en 2020.

À noter que les TPE, les PME et les ETI constituent les principales entités touchées par ces « attaques à finalité lucrative » au cours de l’année passée (52 % en 2021 contre 34 % en 2020), devant les collectivités territoriales et locales (19 % en 2021 contre 24 % en 2020), et les entreprises stratégiques (10 % en 2021 contre 24 % en 2020). Les établissements de santé représentent 7 % des victimes de ce type d’attaque, un chiffre stable entre 2021 et 2020.

Les ESN et le cloud dans la ligne de mire des cybercriminels

L’année 2021 a également été marquée par l’explosion du volume de vulnérabilités 0-Day, qui ont été exploitées par des acteurs étatiques et certains groupes de cybercriminels. Elles ont notamment impacté des organisations qui n’avaient pas appliqué dans les temps les correctifs nécessaires, afin d’apporter une protection suffisante à leur système d’information. Alors que 24 attaques contre la supply chain ont été relevées l’an dernier par l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), l’ANSSI déclare avoir traité 18 compromissions ayant affecté des ESN, contre seulement 4 en 2020.

Ce ciblage accru des fournisseurs de services numériques présente des risques nouveaux puisque leurs outils numériques peuvent devenir des vecteurs de propagation rapide d’une cyberattaque et entraîner des compromissions en cascade.

L’utilisation du cloud, qui s’est généralisée tant dans le secteur privé que public, représente un usage numérique que l’ANSSI estime encore trop souvent mal maîtrisé par les entreprises, qui subissent des piratages à des fins lucratives mais aussi d’espionnage. En cause, une sécurisation insuffisante des données, ouvrant ainsi la voie à des cyberattaques.

La multiplication des attaques informatiques a conduit à une explosion des fuites de données notamment personnelles. Qu’elles soient issues de divulgations effectuées par des opérateurs de rançongiciels, d’opérations de déstabilisation ou de revente d’informations par des cybercriminels, ces données alimentent un cercle vicieux. En effet, elles facilitent de nombreuses attaques informatiques en fournissant des portes d’entrée aux attaquants.

Les recommandations de l’ANSSI face à la professionnalisation des cyberattaquants

Pour expliquer l’évolution accrue de ces cyberattaques et leur sophistication, l’agence française souligne que les cyberattaquants, attirés par l’appât des gains financiers, se sont spécialisés et professionnalisés, constituant ainsi un véritable « écosystème cybercriminel ». Dans son analyse, l’ANSSI précise qu’ils ont désormais adopté les techniques habituelles des attaquants réputés étatiques, à savoir : « une préparation minutieuse de leurs opérations, la persistance sur les réseaux des victimes, la recherche de ressources d’intérêt, l’exploitation de vulnérabilités inconnues (ou 0-Day) ou connues mais dont les correctifs n’ont pas encore été appliqués sur les systèmes des potentielles victimes ».

Ils se sont également appropriés les outils et les codes utilisés dans le cadre d’attaques par rançongiciels ou de logiciels d’hameçonnage, tout en développant leur capacité à évoluer dans l’ombre et rester furtif. Autre raison qui explique l’expansion des menaces : les rançongiciels vendus en tant que service (RaaS) ainsi que les entreprises « peu regardantes qui offrent à des acteurs malveillants des capacités d’hébergement (Bullet Proof Hosters) ». L’agence ajoute : « cette mise à disposition d’outils et de services malveillants prêts à l’emploi pourrait profiter à d’autres types d’attaquants, notamment motivés idéologiquement tels que les hacktivistes ».

Alors que les attaques informatiques touchent tous les secteurs d’activité et l’ensemble des acteurs, privés comme public, l’ANSSI recommande aux organisations de rester vigilantes et de mettre en place des mesures de cyberdéfense dans le but de protéger leur système d’information, comme :

• La mise en place de mesures de cybersécurité adaptées,
• La sensibilisation des collaborateurs aux risques,
• La mise en place d’exercices pour savoir comment réagir en cas d’attaque,
• La protection des administrateurs systèmes, afin que leurs comptes ne soient pas utilisés pour naviguer sur Internet, ainsi que dans le cadre de l’usage de messageries ou de bureautique,
• L’utilisation de gestionnaires de mot de passe, l’activation généralisée de l’authentification à plusieurs facteurs et l’utilisation de mots de passe forts,
• Des politiques de mise à jour révisée au sein des organisations.

Ce panorama met en lumière une menace complexe, professionnelle, aux intentions hétérogènes et en perpétuelle évolution. Notre travail de sensibilisation et d’accompagnement, auprès des entreprises et des administrations, a pour objectif d’élever, au sein de toute la Nation, la prise en compte du risque cyber au juste niveau, ce qui n’est pas encore le cas.

À l’aune d’évènements majeurs, tels que les élections qui se tiennent cette année et des tensions internationales actuelles, la responsabilisation et la vigilance accrue de toutes les parties prenantes est indispensable pour faire face à cette menace, conclut Guillaume Poupard, directeur général de l’ANSSI.