L’ANSSI dresse un tableau sombre de la sécurité informatique

L’Agence nationale de la sécurité des systèmes d’information (ANSSI) vient de publier son panorama de la menace informatique pour l’année 2021 [1] . Celui-ci n’est pas un sondage déclaratif, mais une remontée des différents cas portés à la connaissance de l'agence durant la période. Ainsi, le nombre d’intrusions avérées dans des systèmes d’information signalées à l’ANSSI a augmenté de 37 % entre 2020 et 2021. De 786 en 2020, elles sont passées à 1082 en 2021, soit désormais près de trois intrusions avérées par jour. « Que ce soit dans le cadre d'opérations d'extorsion, d'espionnage, d'influence ou de déstabilisation, les attaquants bénéficient pleinement de la fragilité des infrastructures numériques », se désole l'ANSSI, en évoquant notamment les usages mal maîtrisés du cloud computing. L'autorité signale également qu’une attention particulière doit être accordée aux attaques ciblant la chaîne d’approvisionnement (supply chain) et la sous-traitance, notamment via des ESN, c’est-à-dire des établissements de services numériques. Le recours à cette technique d'attaque est en hausse (voir graphique). Cette tendance présente des risques de propagation rapide depuis un éditeur de logiciels ou une entreprise de services numériques ciblés, avec un risque de compromissions en cascade.

Les PME touchées

Pour expliquer cette croissance, l’agence suggère deux pistes. La première est la spécialisation et la professionnalisation des cybercriminels, notamment sur les ransomwares, même si ce type d’attaques reste stable par rapport à l’année précédente. Ainsi, 203 attaques par ransomwares ont été comptabilisées en 2021 contre 192 en 2020. Et pour celles-ci, « une quarantaine de rançongiciels différents » ont été identifiés en 2021. Les cibles de ces attaques ont un peu évolué sur une année, les cybercriminels se sont en effet concentrés sur des victimes rentables, en l’occurrence les PME, TPE et PMI (52 % contre 34 % en 2020) et les collectivités territoriales (19 % des victimes). Sans oublier les entreprises stratégiques (10 %) comme les organismes d’importance vitale (OIV) dont font partie certaines banques de premier plan (voir graphique).

Deuxième piste d'explication de l'ANSSI : la frontière entre les attaquants classiques et ceux soutenus par les États devient de plus en plus ténue. Ils utilisent les mêmes outils comme par exemple Cobalt Strike, traditionnellement issus de la cybercriminalité, ou se servent de failles « zero day ». Ces vulnérabilités, pour lesquelles aucun correctif n’a encore été publié, seraient plutôt l’apanage des acteurs étatiques.

Vigilance accrue vu l’environnement

« Si les attaques à finalité lucrative ont occupé la scène médiatique, elles ne doivent pas occulter les campagnes d'espionnage, par essence moins visibles, et celles conduites dans un objectif de sabotage informatique », rappelle l'ANSSI. Comme de nombreux cybercriminels, ces attaquants étatiques ont recours à la technique du living-off-the-land (LOTF). Elle consiste à utiliser des outils déjà présents sur le réseau de la victime, comme des outils d’administration, pour arriver à leurs fins en étant plus difficiles à détecter.

L’agence de sécurité gouvernementale note qu'une vigilance particulière est indispensable dans le cadre de la présidence française au Conseil de l'Union européenne, des élections présidentielles et législatives en 2022 et des Jeux olympiques et paralympiques de Paris 2024. Sans compter les différentes tensions internationales.