Sécurité informatique : les acteurs malveillants se professionnalisent, inquiétudes chez l’Anssi

Les attaques informatiques sont nettement à la hausse en France. Le nombre d’intrusions avérées dans des systèmes d’information d’entreprises signalées à l’Anssi (Agence Nationale de la sécurité des systèmes d’information) a augmenté de 37% entre 2020 et 2021.

On dénombre 1082 intrusions informatiques avérées en 2021

L’Agence dénombre 1082 intrusions en 2021 contre 786 en 2020. Elle observe que les acteurs malveillants améliorent leurs capacités de manière constante. L’Anssi demande aux entreprises d’investir, tant en moyens humains que techniques, afin de se sécuriser, pour endiguer les cyber attaques et protéger leur activité et leurs données.

L’agence revient sur les grandes tendances ayant marqué le paysage cyber 2021 dans son Panorama de la menace informatique. « Ce panorama met en lumière une menace complexe, professionnelle, aux intentions hétérogènes et en perpétuelle évolution » s’inquiète Guillaume Poupard, directeur général de l’Anssi. Il considère que le risque cyber n’est pas pris en compte au juste niveau, au sein de toute la nation française.

Il y a désormais près de 3 intrusions informatiques avérées par jour en France. Les cyber attaques sont nombreuses et ont des finalités diverses, telles que les gains financiers, l’espionnage, la déstabilisation et le sabotage. Les années 2019 et 2020 ont été marquées par une explosion des attaques par rançongiciels. Cette menace s’est stabilisée, à un niveau très élevé, entre 2020 et 2021, avec 203 attaques traitées en 2021 contre 192 en 2020. Les TPE, les PME et les ETI représentent 34% des victimes en 2021 des ransomwares. Elles sont suivies par les collectivités (19%) et les entreprises stratégiques (10%).

Il faut s’inquiéter des attaques visant à l’espionnage et au sabotage

Pour autant, l’Anssi prévient qu’il faut s’inquiéter des campagnes d’espionnage et de sabotage, particulièrement préoccupantes. « Les opérations d’espionnage informatique restent en effet la principale finalité poursuivie par les attaquants réputés étatiques et constituent l’essentiel de l’activité traitée dans le cadre de nos opérations de cyber défense » déclare l’Anssi. Cette menace concerne autant les acteurs institutionnels que les acteurs privés.

L’Anssi constate que de plus en plus d’actions de déstabilisation débutent par des compromissions informatiques. Ces attaques servent à récupérer des documents qui peuvent être divulgués, voire modifiés pour déstabiliser une organisation, une personnalité ou un État. Il y a eu 39 divulgations de données à des fins de déstabilisation signalées à l’Anssi en 2021. Quant à la sécurité du quotidien, trop d’entreprises n’appliquent pas à temps les correctifs nécessaires pour se protéger contre les vulnérabilités découvertes et publiées. Cela laisse le champ libre aux attaquants pour les exploiter. « En 2021, on a vu une explosion du nombre de vulnérabilités 0-Day exploitées, utilisées en majorité par des acteurs présumés étatiques mais également par quelques groupes cybercriminels » pointe l’Anssi.  

Les attaques contre la chaine d’approvisionnement (supply chain) continuent de croître. Il y a eu plus de 24 attaques documentées, entre janvier 2020 et juillet 2021, d’après l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA). Ce constat est partagé par l’Anssi qui a traité 18 compromissions affectant des entreprises de service numérique (ESN) en 2021 contre 4 en 2020. En ciblant des ESN, cela présente des risques nouveaux puisque leurs outils numériques peuvent devenir des vecteurs de propagation rapide d’une cyber attaque et entraîner des compromissions en cascade. Quant au Cloud, son usage généralisé augmente mécaniquement le niveau de menace et la surface d’attaque contre les entreprises. « En effet, des défauts de sécurisation des données sont encore trop souvent constatés dans notre activité opérationnelle » avertit l’Anssi.

Les données d’authentification récupérées servent à d’autres attaques

L’Agence rappelle que la divulgation de données facilite les attaques informatiques. Les données récupérées par les attaquants contiennent fréquemment des données d’authentification sur des systèmes d’information et fournissent une porte d’entrée idéale aux attaquants. Le renforcement de la cyber sécurité de ces données doit donc être une priorité. Côté attaquants, les malfrats se sont enrichis, estime l’Anssi. La professionnalisation des attaquants s’explique notamment par les gains financiers accumulés.

« Un écosystème cybercriminel aux ressources considérables s’est progressivement constitué et perfectionné, ce qui lui permet de conduire des attaques sophistiquées » alerte l’Anssi. Conséquence, les cybercriminels adoptent maintenant les modes opératoires des attaquants étatiques. Ils préparent minutieusement leurs opérations, avec une présence persistance sur les réseaux des victimes,  la recherche de ressources d’intérêt, et exploitent des vulnérabilités encore inconnues (ou 0-Day) ou connues mais dont les correctifs n’ont pas encore été appliqués sur les systèmes des futures victimes.

Quant aux cyber attaquants étatiques, leurs compétences se développent ainsi que leur furtivité, relève l’Anssi. Pour mieux dissimuler leurs actions, ils s’inspirent des méthodes cybercriminelles en s’appropriant des codes et des outils, traditionnellement utilisés à des fins lucratives tels que des rançongiciels ou des logiciels d’hameçonnage. Cela réduit leurs coûts, et cela permet aux Etats de nier de façon plausible toute implication dans une attaque informatique. Enfin, l’Anssi critique le développement de capacités d’attaque par les entreprises privées spécialisées. Cela améliore les capacités offensives d’acteurs n’ayant pas les moyens de les développer en interne.