L'agence nationale de la sécurité des systèmes d'information (Anssi) a présenté la deuxième édition de son panorama de la cybermenace, soit un bilan annuel de ses interventions. Grâce à la structuration de l'écosystème français de la cybersécurité ces dernières années, l'agence a réduit son volume d'intervention de plus de 20%. Elle est donc moins mobilisée sur les cas les moins graves, qui sont pris en charge par des acteurs privés, et peut se concentrer sur les menaces les plus importantes.
Si la menace cybercriminelle à but lucratif, représentée par les attaques par rançongiciel, reste très élevée et touche plus que jamais tous les secteurs et toutes les tailles d'entreprises, l'Anssi intervient avant tout sur des cas de menace stratégique en espionnage et sur des cas de menace en sabotage. Envoyées par les services d'autres États, ces menaces qui pourraient déstabiliser le fonctionnement de l'économie française continuent de se multiplier. « Le secteur de l'énergie fait l'objet de toute notre attention, dans un contexte de tension sur le réseau électrique », précise Mathieu Feuillet, sous-directeur Opération de l'Anssi.
Le sabotage, une menace surveillée de près
Les interventions sur des cas de cyberespionnage peuvent mobiliser pendant plusieurs mois plusieurs agents de l'Anssi. Ces derniers essaient d'identifier les outils et techniques utilisés par les attaquants, en plus de s'assurer de s'être débarrassés de leur présence dans le système d'information de la victime. Et pour cause : les attaquants essaient de pénétrer le plus profondément possible dans le système informatique, et d'y avoir un accès sur la durée.
L'autre menace, par sabotage, ne s'est pour l'instant pas concrétisée, mais elle inquiète. Certains attaquants, encore une fois étatiques, viseraient à détruire les infrastructures critiques, pour déstabiliser l'économie française. Un rare exemple récent de tentative réussie s'est produit hors de l'Hexagone, mais elle y a eu un impact. En février 2022, quelques heures avant le début de l'invasion russe en Ukraine, des hackers -commandités par la Russie, d'après l'Union européenne- ont réussi à toucher des routeurs du fournisseur de réseau satellitaire Viasat. En s'en prenant au logiciel de ces petites machines chargées de relayer la connexion Internet, ils ont réussi à couper le réseau et à créer des zones blanches dans certains territoires défendus par l'armée ukrainienne. L'attaque a aussi eu des répercussions en France, où quelques milliers de clients d'une filiale d'Orange dépendent du réseau de Viasat. « Nous n'avons pas vu d'attaques abouties sur l'année écoulée. Mais nous avons une vigilance particulière sur les secteurs critiques et notamment sur l'écosystème de l'énergie », développe Vincent Strubel, directeur général de l'Anssi depuis le début de l'année et successeur de l'emblématique Guillaume Poupard.
Alors que le secteur de l'énergie est déjà soumis aux plus hautes normes de cybersécurité, l'Anssi multiplie les campagnes de prévention auprès de ces acteurs pour s'assurer qu'ils soient prêts en cas d'attaque convaincante. Le directeur de la cybersécurité d'EDF, Olivier Ligneul, se montrait confiant dans la robustesse de son système d'information, lors d'un échange fin 2022 avec La Tribune. Mais désormais, les attaquants ne se contentent pas de viser les grands noms : ils tentent de déstabiliser les chaînes de production en ciblant tous les maillons. A l'image de l'attaque contre le réseau de Viasat, où les attaquants ont visé les routeurs en bout de chaîne mais où les satellites au cœur du fonctionnement n'ont pas été touchés.
« Les activités d'espionnage et de sabotage ciblent un écosystème, elles ne se limitent plus aux grands comptes. Les attaquants visent aussi les entreprises informatiques qui y sont liées ainsi que les petits fournisseurs de savoir-faire particulier. On ne peut plus se limiter à la protection des grands noms, il faut défendre toute la chaîne », élabore Mathieu Feuillet.
L'Anssi soulagée par l'écosystème français
En tout, l'Anssi a traité 831 cas d'intrusion en 2022, 23% de moins que l'an dernier mais plus qu'en 2020. « Nous traitons moins d'incidents mais ils sont en moyenne plus graves », précise Mathieu Feuillet. D'après lui, cette baisse ne traduit pas une chute du nombre de cyberattaques, mais plutôt l'efficacité de l'écosystème français de la cybersécurité, capable de prendre en charge les cas les moins graves sans mobilisation de l'Anssi. Cet appui permet à l'agence de se concentrer sur les situations d'urgence et sur les victimes qui se trouvent dans son périmètre immédiat comme les collectivités.
Concrètement, elle n'est intervenue que sur 109 attaques par rançongiciel en 2022, près de deux fois moins qu'en 2020 et 2021. Si le rançongiciel reste la menace cybercriminelle numéro 1, le nombre de cas tend à se stabiliser, entre autres grâce aux coups de filets menés par les forces de l'ordre, qui ont mené aux démantèlements de groupes et à l'arrestation d'individus.
Les dirigeants de l'Anssi regrettent tout de même qu'un volume conséquent d'attaques pourrait encore être évité avec une meilleure hygiène des organisations, notamment dans leurs politiques de mise à jour. Les dix failles les plus utilisées par les attaquants en 2022 ont toutes été découvertes et corrigées en 2021, à l'instar de plusieurs vulnérabilités dans l'outil de gestion des adresses email Microsoft Exchange. Autrement dit, les victimes ont eu entre six et dix-huit mois pour déployer des correctifs qui leur auraient épargné l'attaque. « Nous continuons à traiter des attaques liées à des vulnérabilités dans Microsoft Exchange, dont les correctifs ont été publiés en 2021 car les mises à jour ne sont pas faites », pointe Vincent Strubel.
Le Qatar pourrait acheter 120 véhicules blindés VBCI fabriqués par KNDS France
Sujets les + commentés