Cybermenace : Que retenir du panorama 2023 de l’ANSSI ?

Sans surprise aucune, le nouveau panorama de l’ANSSI, qui résume une année 2023 de cyberattaques, constate une augmentation constante du niveau de la cybermenace, dans un contexte marqué par de nouvelles tensions géopolitiques et la tenue d’événements internationaux en France. L’ANSSI appelle toutes les DSI, tous les RSSI et toutes les organisations à une meilleure application des recommandations fondamentales de la cybersécurité, les fameux « Basics » chers à l’agence.

Le premier constat tracé par cette édition du panorama de l’ANSII, c’est qu’en 2023, l’espionnage est resté à un niveau élevé, avec une augmentation significative du ciblage des individus et des structures non gouvernementales qui créent, hébergent ou transmettent des données sensibles. L’ANSSI met notamment en avant une augmentation des attaques contre des téléphones portables professionnels et personnels visant des individus ciblés. Il note par ailleurs une recrudescence des attaques réalisées par des groupes plus ou moins publiquement associés au gouvernement russe contre des organisations françaises.

L’ANSSI s’inquiète de voir des modes opératoires cybercriminels être instrumentalisés par des acteurs étatiques pour conduire des opérations d’espionnage. D’autant que, parallèlement, l’écosystème cybercriminel profite aujourd’hui d’outils et de méthodes diffusés largement pour cibler des secteurs particulièrement vulnérables. Malgré les efforts de sécurisation engagés dans certains secteurs, les attaquants continuent de tirer profit des mêmes faiblesses techniques pour s’introduire sur les réseaux. Ainsi, l’exploitation de vulnérabilités « Zero Day » et « Day-1 » reste une porte d’entrée de choix pour les attaquants, qui profitent encore trop souvent de mauvaises pratiques d’administration, de retards dans l’application de correctifs et de l’absence de mécanismes de chiffrement.

Des attaques plus furtives

Des attaques qui se perfectionnent constamment pour mieux éviter d’être détectées mais aussi pour qu’ils soient à la fois plus difficile des les catégoriser et surtout de les attribuer à tel ou tel groupe ou Etat. Avec une forte tendance dans cette quête de furtivité : les réseaux d’anonymisation. Ce sont des réseaux de machines compromises (à la façon des botnets) qui communiquent entre elles et qui sont utilisées par les attaquants afin de rendre leurs opérations difficilement détectables. L’ANSSI explique que « un même réseau d’anonymisation est souvent exploité par de multiples acteurs, ce qui rend plus difficile la distinction et la caractérisation de ses opérateurs. Si les réseaux d’anonymisation ne sont pas spécifiques aux modes opératoires réputés chinois, des MOA comme APT31 et Ke3chang se distinguent par leur utilisation de plus en plus fréquente et à large échelle de ce dispositif. »

Des ransomwares toujours présents

Les attaques par ransomwares n’ont pas seulement fait la Une de l’actualité. Elles ont plus que jamais monopolisé RSSI et DSI : le Nombre d’attaques par ransomware signalées à l’ANSSI en 2023, a augmenté de 30% par rapport à 2022.
Une augmentation qui vient refroidir les espérances de l’an dernier alors que l’agence constatait alors une encourageante diminution.

Les démocraties en danger

Dans un contexte géopolitique tendu, l’agence constate – au-delà des cyberattaques classiques – une recrudescence des opérations de déstabilisation visant principalement à promouvoir un discours politique, à entraver l’accès à des contenus en ligne ou à porter atteinte à l’image d’une organisation. Et une fois encore la Russie de Vladimir Poutine est une nouvelle fois montrée du doigt. Si les attaques par déni de service distribué (DDoS) menées par des hacktivistes pro-russes, aux impacts souvent limités, ont été les plus courantes, des activités de prépositionnement visant plusieurs infrastructures critiques situées en Europe (mais aussi en Amérique du Nord et en Asie) ont également été détectées. Ces dernières, plus discrètes, peuvent néanmoins avoir pour objectif la conduite d’opérations de plus grande envergure menées par des acteurs étatiques attendant le moment opportun pour agir.

Les JO et JOP de Paris : une inquiétude croissante

Autre inquiétude, selon l’ANSSI, les grands événements prévus en France en 2024, et en premier lieu les Jeux olympiques et paralympiques (JOP) de Paris, pourraient offrir aux attaquants des opportunités supplémentaires d’agir. De même, des attaquants pourraient également être incités à s’introduire et à se maintenir sur des réseaux d’importance critique, dans le cadre de tensions internationales. Un risque d’affrontement stratégique entre grandes puissances n’est également pas à exclure.

C’est pourquoi l’agence française appelle les organisations à une meilleure application des recommandations indispensables telles que le développement de capacités de détection, la mise en place d’une stratégie de sauvegarde des systèmes d’information, ou bien encore l’élaboration de plans de continuité et de reprise d’activité. Par ailleurs, le suivi régulier des publications du CERT-FR sur les menaces et les vulnérabilités les plus courantes s’impose comme une ressource indispensable pour atteindre le bon niveau de cybersécurité.

Au menu 2024

En 2024, l’ANSSI sera en grande partie mobilisée sur la cybersécurité des JOP, pour lesquels l’agence a défini, en coopération avec les différents services de l’État impliqués, un dispositif renforcé de veille, d’alerte et de traitement des incidents de sécurité informatique.

Pour assurer la protection de la Nation dans les années à venir et faire face à la recrudescence constante des menaces et à l’amélioration continue des attaquants, l’ANSSI entend s’appuyer sur l’entrée en vigueur cette année de la directive NIS 2, qui permettra de réguler plusieurs milliers de nouvelles entités et de renforcer progressivement leur niveau de sécurité informatique. De plus, l’agence entend continuer à apporter son soutien aux opérations internationales visant à démanteler des réseaux cybercriminels, à l’image de celle menée à l’encontre du groupe QakBot en 2023 ou plus récemment celle menée contre le groupe LockBit.

À LIRE AUSSI :

Secu

L’ANSSI publie la version finale de ses 3 guides de remédiation

Laurent Delattre

22 Jan

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !