Du mieux, mais prudence. L'Agence nationale de la sécurité des systèmes d'information (ANSSI), qui a présenté lundi son rapport annuel, a recensé beaucoup moins de cyberattaques en France en 2018 qu'en 2017 : 1.869 signalements d'événement de sécurité numérique, 16 incidents majeurs et 14 opérations de cyberdéfense afin de répondre à un incident menaçant et compromettant les opérations liées l'activité d'une organisation d'importance vitale (OIV) ou fortement sensible.
En 2017, le "cyberpompier", qui fête ses dix ans d'existence cette année, avait alors recensé 2.435 signalements, 20 incidents majeurs de sécurité et 12 opérations de cyberdéfense et, surtout, trois crises publiques majeures (menace sur l'élection présidentielle, rançongiciel Wannacry et attaque à des fins de sabotage NotPetya).
Un modèle français efficace
"Le fait que les chiffres n'augmentent pas est dû à notre capacité opérationnelle et à notre système, le modèle français, qui est optimisé pour répondre aux attaques les plus graves, a estimé le directeur général de l'ANSSI, Guillaume Poupard. Pour autant, a-t-il noté prudemment, "la menace évolue rapidement". Et la crainte d'un cyber-Pearl Harbor reste bien ancré dans son esprit, comme il l'avait lui-même indiqué en janvier dernier. "Nous redoutons et souhaitons éviter une succession d'attaques massives surprises, avait-il précisé dans une interview accordée au Parisien. Tous les éléments techniques sont disponibles, il ne reste plus qu'avoir la volonté et d'allumer la première mèche".
D'autant que la sophistication des attaques est croissante, selon l'ANSSI. "Passer par la porte est désormais plus compliqué. Les attaquants passent maintenant par les fenêtres. Et il y a beaucoup de fenêtres", a précisé Guillaume Poupard. A cet égard, la sous-direction Opérations de l'ANSSI a analysé les cinq grandes tendances de la menace observées en France et en Europe en 2018.
1/ L'espionnage
Si les attaques les plus visibles prennent la forme de sabotage, l'espionnage est le risque qui pèse le plus sur les entreprises et les Etats, a assuré l'ANSSI. "C'est devenu un sport extrême", a reconnu Guillaume Poupard. L'espionnage, qui nécessite de très gros moyens, a été une préoccupation majeure pour l'Agence en 2018. Extrêmement discrets et patients, les attaquants - nécessairement des Etats et des mafias au regard des moyens financiers, humains et logistiques mis en oeuvre - s'intéressent de plus en plus aux secteurs d'activité d'importance vitale et aux infrastructures critiques, comme les secteurs de la défense, de la santé ou encore de la recherche. Ils mènent des opérations très ciblées d'une grande sophistication
"Des groupes très organisés préparent ce qui ressemble aux conflits de demain, en s'introduisant dans les infrastructures des systèmes les plus critiques", a fait valoir Guillaume Poupard. "Progressivement, on assiste au sein des organisations à un rapprochement entre sécurité numérique et préoccupations économiques, politiques et sociétales".
2/ Des attaques indirectes en croissance
L'ANSSI a également observé une augmentation des attaques indirectes en 2018. En ciblant un ou plusieurs intermédiaires (fournisseur, prestataire, etc.), les attaquants parviennent à contourner les mesures de sécurité de très grands groupes, déjà très conscients du risque numérique. "La compromission d'un seul intermédiaire suffit parfois à accéder à plusieurs organisations", a précisé l'ANSSI. Cela a été le cas pour Airbus, a révélé Guillaume Poupard, interrogé par La Tribune. Le constructeur aéronautique a été victime d'une cyberattaque en janvier dernier, via un de ses fournisseurs. "Se protéger des attaquants, ce n'est pas simple ; se protéger de ses fournisseurs c'est extrêmement compliqué", a-t-il analysé.
"Les attaquants exploitent de plus en plus les relations de confiance établies entre partenaires pour accéder aux informations qu'ils convoitent", avertit Guillaume Poupard.
C'est le cas de plus en plus d'attaques au rançongiciel qui cryptent les fichiers d'un système informatique grâce à un code malveillant pour les rendre inutilisables. Puis leurs auteurs réclament une rançon pour les débloquer. "Une partie des acteurs" des attaques par rançongiciel "a développé des moyens et des compétences analogues à ce qu'on peut retrouver dans les opérations de renseignement", a constaté François Deruty, le sous-directeur "opération" de l'ANSSI. Des organisations de type Mafia ou crime; organisé, qui investissent de plus en plus le cyberespace et qui se donnent les moyens pour parvenir à leur fin.
Explications d'un schéma d'attaque de ce type par François Deruty : l'assaillant "se renseigne sur sa cible", "de préférence une grande entreprise avec un chiffre d'affaires important". "Ensuite il va préparer dans la durée son attaque, s'infiltrer et se propager dans le système d'information" de la victime, puis "attendre le moment opportun" pour attaquer. Ce moment peut être par exemple "la veille d'un grand contrat, d'une fusion acquisition". A ce moment-là, l'assaillant "va déposer le rançongiciel sur des ressources clefs, et va rendre en quelques heures inopérant un système de plusieurs dizaines de milliers de machines". En général, "quand l'ANSSI intervient, 80% des serveurs sont déjà infiltrés", et souvent les services des réseaux d'informations n'ont plus que leurs téléphones portables privés ou les réseaux sociaux pour communiquer entre eux.
C'est ce type d'attaque dont ont été victimes fin janvier Altran, le groupe français d'ingénierie, qui a parmi ses clients de nombreux OIV, ou encore en mars le groupe norvégien d'aluminium Norsk Hydro. Dans les deux cas, les spécialistes incriminent un rançongiciel, baptisé "LockerGoga".
3/ Les opérations de déstabilisation et d'influence
Les opérations de déstabilisation et d'influence ont été particulièrement nombreuses en 2018, a noté l'ANSSI. Sans être très sophistiquées, ces attaques, qui peuvent être revendiquées, ont un fort impact symbolique, lié à la nature des cibles visées, à l'image de TV5 Monde, et aux revendications dont elles font l'objet. Les conséquences peuvent aller de la simple indisponibilité du service impacté au véritable sabotage
4/ Opérations clandestines sur les cryptommnaies
Tout au long de l'année, l'ANSSI a pu observer une multiplicité d'attaques visant à générer des cryptomonnaies. Des attaques qui enrichissent les assaillants, qui s'organisent de plus en plus en réseaux. C'est l'une des tendances de 2018. Les attaquants profitent des failles de sécurité pour déposer très discrètement des mineurs clandestins de cryptomonnaies pour compromettre le plus grand nombre d'équipements. Les mineurs sont en principe des individus, qui vérifient les transactions et des opérations effectuées par les utilisateurs sur le réseau. Contrairement aux rançongiciels, ces logiciels malveillants sont les plus discrets possibles, a rappelé l'ANSSI.
5/ La fraude en ligne
Enfin, l'Agence a constaté une montée en puissance de la fraude en ligne, qui est une menace permanente sur internet. Les grands opérateurs se préoccupant de plus en plus de leur sécurité numérique, les attaquants se tournent vers des cibles moins exposées mais plus vulnérables. De nombreuses campagnes d'hameçonnage ciblant des collectivités territoriales ou des acteurs du secteur de la santé ont été observées en 2018. "Nous avons eu plusieurs incidents à traiter dans les hôpitaux", a reconnu le patron de l'ANSSI. Ces attaques ont deux objectifs bien précis : vols de données personnelles et/ou demande de paiement de rançon après chiffrement des données.
Plan d'urbanisme à Paris : les professionnels dénoncent « une aberration », le premier adjoint d'Hidalgo leur répond
Sujets les + commentés