Avec un niveau général qui reste élevé, l’ANSSI constate que cette menace touche de moins en moins d’opérateurs régulés et se déporte sur des entités moins bien protégées. Si le nombre d’attaques par rançongiciel portées à la connaissance de l’ANSSI a diminué, la menace d’espionnage informatique demeure prégnante, ayant de nouveau fortement mobilisé les équipes de l’agence.

Des attaquants toujours plus performants

La convergence des outils et techniques des différents profils d’attaquants se poursuit en 2022. Les attaquants étatiques s’inspirent des méthodes cybercriminelles et utilisent de plus en plus de rançongiciels à des fins de déstabilisation dans le cadre d’opération de sabotage informatique. Cette porosité entre les différents profils d’attaquants complexifie la caractérisation et l’imputation des activités malveillantes.

Leur ciblage évolue et ils cherchent désormais à obtenir des accès discrets et pérennes aux réseaux de leurs victimes. Ils tentent ainsi de compromettre des équipements périphériques (pare-feu ou routeurs). Ce ciblage périphérique se retrouve également dans le type d’entités compromises et confirme l’intérêt des attaquants pour les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l’écosystème plus large de leurs cibles.

Le gain financier, l’espionnage et la déstabilisation restent les principaux objectifs des attaquants

Après une accalmie lors du premier semestre, la menace cybercriminelle et plus spécifiquement celle liée aux rançongiciels se maintient avec un regain d’activités fin 2022. Elle touche particulièrement les TPE, PME et ETI (40 % des rançongiciels traités ou rapportés à l’ANSSI en 2022), les collectivités territoriales (23 %) et les établissements publics de santé (10 %). Elle ne doit pas éluder les autres types d’activités cybercriminelles comme le cryptominage. Plus furtif qu’auparavant, il permet de générer des fonds importants qui peuvent être réinvestis par les acteurs malveillants pour acquérir de nouvelles capacités.

Comme l’an passé, la menace d’espionnage informatique est celle qui a le plus mobilisé les équipes de l’ANSSI en 2022. Près de la moitié des opérations de cyberdéfense de l’agence en 2022 impliquaient des modes opératoires associés en source ouverte à la Chine. Ces intrusions répétées attestent d’un effort continu pour s’introduire dans les réseaux d’entités françaises stratégiques.

L’invasion russe de l’Ukraine a fourni un contexte propice à l’augmentation des actions de déstabilisation en Europe. L’ANSSI a observé des attaques par déni de service distribué, par sabotage informatique ainsi que des opérations informationnelles s’appuyant sur des compromissions de systèmes d’information. Si les attaques par sabotage ont été relativement circonscrites à l’Ukraine, l’évolution du conflit et les conséquences économiques qui en résultent appellent à une vigilance de l’ensemble des organisations notamment dans le secteur de l’énergie.

Les mêmes faiblesses sont toujours exploitées

Les usages numériques non maîtrisés et les faiblesses dans la sécurisation des données continuent d’offrir de trop nombreuses opportunités aux attaquants. Le recours au Cloud et l’externalisation de services auprès d’entreprises de services numériques, lorsqu’ils ne s’accompagnent pas de clauses de cybersécurité adaptées, représentent une menace importante.

En dépit d’une baisse du nombre d’attaques ciblant la chaine d’approvisionnement ou supply chain en 2022, cette tendance reste d’actualité et souligne un risque systémique.

Enfin, de nombreuses organisations n’appliquent pas à temps les correctifs sur les vulnérabilités découvertes, ce qui laisse le champ libre aux attaquants pour les exploiter.

Des solutions pour y faire face

Face à ces menaces, les organisations privées comme publiques doivent prendre en compte le risque cyber au juste niveau et adopter les bonnes mesures pour se protéger. L’application rigoureuse d’une politique de mise à jour et du guide d’hygiène informatique, une sensibilisation régulière des utilisateurs et le développement de capacités de détection et de traitement d’incident permettent de se prémunir des menaces les plus courantes. Des recommandations sont disponibles sur le site de l’ANSSI et l’actualité opérationnelle et les alertes cyber sont accessibles sur le site du CERT-FR.

La nouvelle directive Network and information system security (NIS 2) qui sera transposée en droit français au deuxième semestre 2024, au plus tard, permettra d’augmenter le niveau de cybersécurité de milliers d’entités, allant de la PME aux entreprises du CAC40, sur a minima 18 secteurs d’activité.

« Ce Panorama de la cybermenace met en lumière une menace cyber qui s’est maintenue à un niveau élevé en 2022. Alors que la France se prépare à accueillir des événements majeurs tels que la Coupe du monde de rugby en 2023 et les Jeux olympiques et paralympiques de Paris en 2024, nous devons renforcer la vigilance et la responsabilité de chacun, pour faire face tous ensemble à cette menace. » déclare Vincent Strubel, directeur général de l’ANSSI.