Chaque année, l’ANSSI fait un point de l’état de la cyber menace en France sur l’année 2021. Et sans surprise, l’agence confirme une année noire marquée par une professionnalisation grandissante des gangs cybercriminels, une recrudescence de l’espionnage informatique et une explosion des vulnérabilités O-Day.

Le rapport « Panorama de la menace informatique 2021 » que vient de publier l’Agence Nationale pour la Sécurité des Systèmes d’Information (ANSSI) n’est franchement pas très réjouissant. Il est surtout sans surprise : sur le front des menaces cyber, 2021 a été une année noire et les tendances ne vont pas vers des lendemains plus roses.

Si les ransomwares n’ont pas connu l’explosion des rançongiciels connue en 2020, ils restent une menace forte avec des chiffres élevés : 203 attaques ransomwares traitées par l’ANSSI en 2021 contre 192 en 2020. Rappelons que l’ANSSI n’est appelée que sur une faible partie des incidents, ceux qui touchent les entreprises critiques et organisations publiques. 34% des victimes de ransomwares étaient des TPE, PME et PMI, 19% des collectivités locales, 10% des entreprises stratégiques. Une étude ExtraHop publiée en février révélait que 78 % des entreprises françaises avaient subi une attaque par ransomware au cours de cinq dernières années et 69 % ont versé une rançon.

Pourtant, en ces périodes de conflits géopolitiques, la préoccupation de l’ANSSI est ailleurs. « Les attaques par ransomware et autres attaques à finalité lucrative ne doivent pas occulter les campagnes d’espionnage et de sabotage particulièrement préoccupantes » explique l’ANSSI. « Les opérations d’espionnage informatique restent en effet la principale finalité poursuivie par les attaquants réputés étatiques et constituent l’essentiel de l’activité traitée dans le cadre des opérations de cyberdéfense conduites par l’ANSSI. Cette menace concerne autant les acteurs institutionnels que les acteurs privés ».

Une professionnalisation motivée par la performance

Les gains financiers accumulés par certains gangs cybercriminels ont encore accéléré un phénomène de professionnalisation de la cybercriminalité constaté depuis une dizaine d’années. Il en résulte l’apparition d’offres de services « cybercriminels » et notamment d’offres RaaS (Ransomware as a Serivce) et d’hébergeurs « Bullet Proof Hosters », aux infrastructures situées dans des juridictions hors d’atteinte des traités de coopération judiciaire. « Ces services parfois très sophistiqués peuvent fournir à de nouveaux commanditaires (étatiques ou non) les moyens de mener des attaques informatiques sans avoir à développer leurs propres capacités et compétences » explique l’ANSSO.
Cette professionnalisation procure également à certains groupes les ressources, le temps pour des préparations minutieuses, et l’efficacité jusqu’ici plutôt réservés aux attaquants « étatiques ». Au point que ces derniers exploitent désormais certains codes de cybercriminels pour améliorer leur furtivité et se masquer derrière ces derniers pour mieux nier leur propre implication. Dit autrement, les attaquants « étatiques » sont de moins en moins identifiables et cela pose un problème supplémentaire alors que les tensions géopolitiques sont à leur comble.

Par ailleurs, l’ANSSI note que « cette porosité entre différents profils d’attaquants peut également profiter à d’autres catégories d’attaquants, notamment aux hacktivistes. Un premier cas d’utilisation d’un rançongiciel à des fins hacktivistes a été identifié en Inde en 2021 : le rançongiciel Sarbloh a été utilisé dans le contexte d’une protestation contre une réforme agraire du gouvernement ».

Le Cyber-espionnage est une réalité

« La menace d’espionnage stratégique demeure une constante à prendre en compte. Elle touche autant les acteurs institutionnels que privés » note l’ANSSI. La France est particulièrement ciblée par cette menace comme en témoignent les campagnes d’attaques 2021 portées par Sandworm, Nobelium ou APT31. En 2021, sur les 17 opérations de cyberdéfense traitées par l’ANSSI, 14 étaient liées à des opérations d’espionnage informatique, impliquant pour 9 d’entre elles des modes opératoires réputés chinois. De même, sur 8 incidents majeurs, 5 concernent des MOA réputés chinois.

Par ailleurs, l’ANSSI s’inquiète également de voir que les opérations d’influence et de déstabilisation menées par des états ou des groupuscules politisés vont désormais au-delà des fake-news et de la compromission des relais d’information. De plus en plus d’opérations s’appuient sur des compromissions informatiques pour exfiltrer des documents authentiques et les divulguer soit en l’état, soit modifiés. « Le phénomène n’est pas nouveau mais appelle à une vigilance particulière à l’approche d’échéances électorales majeures en France en 2022 » alerte l’ANSSI.

Record de vulnérabilités

Sans surprise, l’ANSSI regrette de constater qu’ « encore trop d’organisations n’appliquent pas à temps les correctifs publiés » alors que l’année 2021 a été marquée par quelques vulnérabilités majeures sur Exchange, CosmosDB, VMware, Fortinet, Log4J ou Pulse Secure.

Pourtant sa préoccupation première est ailleurs : l’année 2020-2021 a vu une explosion du nombre de vulnérabilités 0-Day (failles sans correctifs au moment de leur utilisation) activement exploitées. Selon l’équipe d’analyse de la menace de Google Threat Analysis Group (TAG) en juillet 2021, 33 vulnérabilités de ce type avaient été exploitées avant la mise à disposition d’un correctif, contre 25 en 2020 et 20 en 2019.

Cette recrudescence d’attaques 0-Day et autres exploitations de vulnérabilités explique le « raz le bol » ouvertement exprimé par le CESIN et le CIGREF ces dernières semaines. Le CIGREF avait ouvert le feu à la fin de l’année en expliquant que l’effort de Patching était désormais bien trop lourd (Microsoft était nommément visé) et les produits et services numériques entrant sur le marché européen devraient être certifiés et plus sûrs.

Dans ses 10 propositions à l’attention des candidats à l’élection présidentielle, le CESIN veut « en finir avec l’afflux de logiciels vulnérables ». Les membres du CESIN expliquent que « nos entreprises font face à un nombre exponentiel de vulnérabilités à traiter, soit parce que les éditeurs ont produit vite et mal, des applications comportant des failles logicielles, et ces cas sont en nette augmentation ces dernières années, soit parce qu’un attaquant a réussi à s’introduire chez un éditeur et à insérer un code malveillant au sein des logiciels produits. Cette escalade n’est plus supportable ». Outre une exigence de voir les éditeurs prendre des engagements formels sur la qualité de leurs logiciels, ils estiment que ces mêmes éditeurs devraient aussi assumer les conséquences financières des patchs qu’ils émettent. Des demandes difficiles à concrétiser dans un monde de cybersécurité par nature très dynamique et qui ne doivent pas surtout servir d’excuses pour ne pas faire les efforts techniques et financiers pour durcir les infrastructures et assurer l’hygiène du SI.

Attaques à la supply chain

Autre sujet d’inquiétude, qui s’inscrit pleinement dans le paysage décrit ci-dessus, les attaques ciblant la chaîne d’approvisionnement sont en pleine croissance et de plus en plus préoccupantes. L’ANSSI a traité 18 compromissions de supply chain affectant des entreprises de service numérique (ESN) en 2021 contre 4 en 2020. L’ANSSI s’inquiète ainsi de voir les fournisseurs de services numériques devenir des cibles privilégiées et représenter des risques nouveaux pouvant entraîner des compromissions en cascade.

Pour terminer, l’ANSSI rappelle au passage les règles de base de la cybersécurité encore bien trop ignorée à commencer par la sacro-sainte hygiène du système d’information, le respect de politiques strictes d’utilisation des comptes d’administration et des comptes de gestion de l’Active Directory et la segmentation des réseaux.

Source : Rapport ANSSI Panorama de la Menace Informatique 2021


À lire également :

Cybersécurité : 10 prévisions pour 2022

Attaques de la Supply Chain : Comment les cybercriminels exploitent la confiance entre les organisations ?

Cybersécurité : les logiciels d’éditeurs et le cloud deviennent des cibles privilégiées

Ukraine : Les DSI à l’heure de la Cyber-Guerre !

Les trois quarts des containers sont hautement vulnérables

En 2021, une grande entreprise sur deux a subi au moins une cyber-attaque réussie.

L’ANSSI va bien avoir ses 7 cyber-centres régionaux