L’Agence nationale de la sécurité des systèmes d’information (Anssi), présentait ce 11 mars au Campus Cyber son Panorama annuel de la cybermenace. Dans le contexte géo-politique du moment, l’agence décrit 2024 sans détour comme l’année « marquée par une pression désormais constante posée par, d’une part, la menace systémique que représentent les attaquants cybercriminels, et, d’autre part, la menace posée par les attaquants réputés liés à la Russie et la Chine pour les systèmes d’information les plus critiques de la Nation. »
JO : 12 fois plus d’attaques que les jeux de Tokyo
Les Jeux Olympiques et para-Olympiques ont été sans conteste un des évènements majeurs de 2024, et Vincent Strubel, directeur général de l’Anssi s’est félicité du fait qu’ils se soient déroulés sans encombre. En effet, si l’évènement a subi 12 fois plus d’attaques que les jeux de Tokyo, « toutes ont été bloquées ou ont causé un impact limité », a-t-il indiqué. Un succès majeur, un savoir-faire collectif « à réutiliser : nous avons progressé en matière de gestion de crise à grande échelle », s’est-il félicité.
+15% des attaques traitées par l’Anssi
En 2024,les équipes de l’ANSSI ont eu à traiter 4 386 « événements » de sécurité, une hausse de 15 % par rapport à 2023.
Les rançongiels restent une menace prioritaire, mais stable en quantité. « Les PME restent en tête du palmarès, avec les collectivités et les établissements de santé », a rappelé Vincent Strubel.
Les chiffres des incidents traités par l’Anssi indiquent : les PME/TPE/ETI (37 %), les collectivités territoriales (17 %), les établissements d’enseignement supérieur (12 %) et les entreprises stratégiques (12 %).
Le vol de données a peut-être été
le fait majeur de 2024
L’espionnage, première préoccupation
Le vol de données a peut-être été le fait majeur de 2024, a noté l’Anssi. Mais, à l’instar de 2023, le directeur général de l’Anssi a confié : « L’espionnage reste ce qui nous préoccupe le plus ». Les attaques à finalité d’espionnage ont le plus mobilisé les équipes opérationnelles de l’agence. Là encore, on ne s’embarrasse plus pour désigner les coupables : « Les attaquants réputés liés aux intérêts stratégiques russes ont poursuivi leurs attaques guidées principalement par la recherche d’informations pouvant soutenir leurs efforts militaires ou diplomatiques. De son côté, l’activité associée aux modes opératoires réputés chinois a été particulièrement dense et répandue à des fins de captation de renseignements d’ordres stratégique et économique ».
Espionnage et sabotage sur les télécommunications et l’industrie
Le ciblage d’opérateurs de télécommunications s’est avéré intense et plusieurs incidents d’importance ont été traités par l’Agence, et notamment l’attaque d’origine chinoise d’un cœur de réseau mobile, « avec un niveau de sophistication élevé et une excellente connaissance des protocoles”, a indiqué Vincent Strubel.
Les communications satellitaires ont été également visées révélant une présence furtive, peut-être depuis des année, et avec des capacités de sabotage, heureusement non activées.
Malgré des conséquences limitées, le sabotage de petites installations industrielles a aussi été relevé. Le groupe pro-russe CARR (Cyber Army of Russia Reborn) a ainsi revendiqué la prise de contrôle d’une minicentrale électrique. « Ces attaques représentent une évolution vers une logique de sabotage, pour laquelle une vigilance s’impose », a conclu l’Anssi.
Déstabilisation : hausse de 10% des attaques DDoS
« Une hausse des attaques à but de déstabilisation a également été observée, généralement menées par des groupes dits « hacktivistes » cherchant à attirer l’attention en mettant en œuvre des attaques de faible technicité mais à forte visibilité. », indique le Panorama de la cybermenace 2024. Les attaques par déni de service (DDoS) ont doublé par rapport à 2023, avec une recrudescence pendant la période des Jeux. Le réseau interministériel de l’Etat (RIE) a subi lui-même une attaque qui l’avait bloqué plusieurs jours.
« Il y a une myriade de groupes hacktivistes pro-russes totalement désinhibés », a dénoncé Vincent Strubel. Ils avaient menacé pendant les JO de polluer la Seine en s’attaquant aux stations d’épuration ! La singularité de la Russie, rappelle l’Anssi, est de présenter des attaquants protéiformes, agents d’état, groupes criminels et hacktivistes, avec une porosité entre ces groupes.
Hausse des attaques à but de déstabilisation
Vulnérabilités: les grandes tendances
- Les équipements de sécurité , en « bordure » ciblés en 2024.
Fait marquant, les « équipements de bordure » ont été particulièrement ciblés en 2024 : antispams, passerelles VPN, firewalls. Lire notre article dédié.Les chaînes d’approvisionnement restent une cible, avec « piègeage » des logiciels, parfois une brique open source, ce qui reste un souci majeur, tant il est difficile de tracer la présence de la dite brique dans les applications.
- Attaques de prestataires. Compromettre un info-géreur, permet de disséminer, massifier l’attaque. Même les plus grands acteurs, comme Microsoft, on subi ces attaques
- Attaques des téléphones portables. Les intrusions dans les téléphones portables, passent parfois par des liens des publicités.
- Utilisation de réseaux d’anonymisation par des attaquants réputés liés à la Chine : La particularité de ces réseaux d’anonymisation réside dans le grand nombre de machines impliquées et l’industrialisation de leur infection. Composés de plusieurs centaines, voire milliers, d’équipements compromis ou loués, ils augmentent le coût de la défense contre les attaques informatiques en faisant évoluer les infrastructures attaquantes et les TTP. L’utilisation d’équipements réseau légitimes dans ces infrastructures complique également la détection et le blocage, puisqu’il est difficile de discriminer le trafic malveillant.
Mobilisation et vigilance
Les attaquants se saisissent de toutes les faiblesses techniques exposées par les systèmes d’information et l’Agence enjoint plus que jamais les organisations à « durcir et maintenir en condition de sécurité leurs SI afin de réduire la surface d’attaque », en particulier d’appliquer les correctifs de sécurité, le plus rapidement possible.
Le volet cyber du projet de loi Résilience, visant à transposer la directive NIS 2 en France, constituent un pan essentiel de sa réponse. Le directeur général de l’Anssi, réaliste, a rappelé qu’à partir du moment où la loi serait votée, les organisations auront un délai de 3 ans pour se mettre en « complète conformité ». Même si les notifications d’incidents, par exemple, devront être effectuées sans délai.
« Beaucoup pensaient que 2024 serait une année dramatique pour la cybersécurité française, mais les Jeux olympiques et paralympiques de Paris 2024 ont, au contraire, permis de démontrer que l’Anssi et notre écosystème était à la hauteur des enjeux cyber nationaux et internationaux. Il serait toutefois malavisé de faire dans l’excès de confiance et de se reposer sur nos lauriers à l’heure où l’intensification des conflits invite plutôt à une mobilisation et une vigilance de tous les instants de la part de tous les acteurs français », a conclu Vincent Strubel.
