Panorama de la Cybermenace 2022 (ANSSI)

Cliquez-ici pour télécharger le rapport 2022 de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)

Message important extrait de ce document :
L’ANSSI appelle à l’application prioritaire des correctifs sur les systèmes exposés sur Internet ou, à défaut, la mise en place de mesures de contournement.
Le contexte géopolitique et les évènements majeurs que sont la Coupe du monde de rugby 2023 et les Jeux olympiques et paralympiques de Paris 2024 vont fournir aux attaquants de nombreuses opportunités de nuire.
L’application rigoureuse d’une politique de mise à jour, une sensibilisation régulière des utilisateurs et le développement de capacités de détection et de traitement d’incident permettent de se prémunir des menaces les plus courantes.

Synthèse extraite de ce document :
Malgré une année marquée par le conflit russo-ukrainien et ses effets dans le cyberespace, la menace informatique n’a pas connu d’évolution majeure, les tendances identifiées en 2021 s’étant confirmées en 2022.
Le niveau général de la menace se maintient en 2022 avec 831 intrusions avérées contre 1082 en 2021. Si ce nombre est inférieur à celui de 2021,  cela ne saurait être interprété comme une baisse du niveau de la menace.
En effet, si une chute de l’activité liée aux rançongiciels a bien été observée par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) sur les opérateurs régulés publics et privés à l’exception des hôpitaux, elle n’illustre pas l’évolution générale de cette menace cyber qui se maintient à un niveau élevé en se déportant sur des entités moins bien protégées.
Les acteurs malveillants poursuivent l’amélioration constante de leurs capacités à des fins de gain financier, d’espionnage et de déstabilisation.
Cette amélioration s’illustre en particulier dans le ciblage des attaquants qui cherchent à obtenir des accès discrets et pérennes aux réseaux de leurs victimes. Les acteurs malveillants tentent de compromettre des équipements périphériques qui leur offrent un accès plus furtif et persistant aux réseaux victimes.
Ce ciblage périphérique se transpose également dans le type d’entités attaquées et confirme l’intérêt des attaquants pour les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l’écosystème plus large de leurs cibles finales.
La convergence des outils et des techniques des différents profils d’attaquants se poursuit également en 2022 et continue de poser des difficultés de caractérisation de la menace. L’utilisation de rançongiciels par des attaquants étatiques illustre cette porosité entre différents profils d’attaquants déjà identifiée en 2021.
Leur utilisation à des fins de déstabilisation dans le cadre d’opérations de sabotage s’est par ailleurs matérialisée au cours de l’année 2022 et participe à complexifier la compréhension des activités malveillantes. L’apparition d’alternatives aux codes génériques tels que Cobalt Strike entraîne également des difficultés de détection de ces nouveaux outils utilisés par plusieurs profils d’attaquants, tout en compliquant la détermination des activités associées.
Les attaques poursuivant un objectif de gain financier demeurent les plus courantes en 2022. Si une baisse de l’activité des rançongiciels a été remarquée au premier semestre 2022, une multiplication des cas d’attaques par rançongiciels est observée depuis l’été 2022, particulièrement à l’encontre des collectivités territoriales et des établissements de santé avec des impacts conséquents. Les autres activités cybercriminelles comme les arnaques, les services de vente d’accès ou de programme malveillant à la demande et le cryptominage se sont maintenues.
L’espionnage informatique a également perduré en 2022 tant en France que dans le monde. Il constitue la catégorie de menace qui a le plus impliqué les équipes de l’ANSSI sur l’année écoulée.
Comme en 2021, la majorité des cas d’espionnage informatique traités par l’agence impliquait de nouveau des modes opératoires associés en source ouverte à la Chine. Ces intrusions répétées de modes opératoires étrangers témoignent d’un effort continu pour s’introduire dans les réseaux d’entreprises stratégiques françaises.
L’invasion russe en Ukraine a également été favorable à des campagnes d’espionnage stratégique au cours de l’année 2022 et a fourni un contexte favorable à des actions de déstabilisation en Europe. Si les attaques par sabotage informatique ont été, jusqu’à présent, relativement circonscrites au théâtre du conflit, d’autres modes d’actions tels que des attaques en déni de service distribué, des défigurations de sites Internet ou des opérations informationnelles associées à des exfiltrations de données ont affecté de nombreuses victimes en Europe et en Amérique du Nord.
Les usages numériques non maîtrisés et les faiblesses dans la sécurisation des données continuent d’offrir de trop nombreuses opportunités d’actions malveillantes. Le Cloud Computing et l’externalisation de services auprès d’entreprises de services numériques, sans clauses de cybersécurité adaptées, représentent toujours un vecteur d’attaque indirecte d’intérêt. En dépit d’une baisse du nombre d’attaques ciblant la supply chain en 2022, cette tendance reste d’actualité et souligne un risque systémique.
Enfin, l’exploitation de vulnérabilités disposant de correctifs est encore trop souvent observée,   notamment dans le cadre des incidents traités ou rapportés à l’ANSSI et ce malgré la publication d’avis et d’alertes sur le site du CERT-FR ou de campagnes de signalement.