Malgré une baisse sensible des incidents traités par l’ANSSI en 2018, la menace d’attaques informatiques progresse

En 2017, l’activité opérationnelle de l’Agence nationale de la sécurité des systèmes d’informations [ANSSI], qui fête ses 10 ans d’existence cette année, s’était résumée au traitement de 1.621 incidents [sur 2.435 signalés], de 794 incidents, c’est à dire des « évènements indésirables ou inattendus qui présentent une forte probabilité de menacer les systèmes numériques et de compromettre les opérations liées à l’activité d’une organisation » et de 20 incidents majeurs.

En outre, l’ANSSI avait également conduit 12 interventions [ou « opérations de cyberdéfense »] visant à répondre à un « incident de sécurité majeur menaçant directement les systèmes numériques et compromettant les opérations liées à l’activité d’une organisation d’importance vitale ou fortement sensible » et géré 3 crises [pdf].

Le rapport annuel que vient de publier l’ANSSI [.pdf] donne l’impression d’une accalmie sur le front des attaques informatiques dans la mesure où, en 2018, elle a traité deux fois moins d’incidents par rapport à l’année précédente. Mais il ne s’agit que d’une impression car, dans le même temps, elle est intervenue pour traiter 1.869 signalements et 16 incidents majeurs tout en menant 14 opérations de cyberdéfense. Par ailleurs, de son côté, le ministère des Armées a indiqué avoir dû faire face à 830 incidents ayant affectés ses systèmes. Soit une centaine de plus qu’en 2017.

En réalité, comme l’a souligné Guillaume Poupard, le directeur de l’ANSSI, sur les ondes de France Inter, le 15 avril, « la menace progresse parce que les attaquants sont de plus en plus forts » et que « les possibilités d’attaques sont croissantes ». En clair, avec, par exemple, la numérisation des outils de production ou encore les applications que permettront l’arrivée de la 5G [voitures autonomes, Internet des objets, etc], les vulnérabilités seront potentiellement beaucoup plus nombreuses qu’aujourd’hui.

En outre, dans le rapport de l’ANSSI, M. Poupard a une nouvelle fois évoqué l’activité de « groupes très organisés » qui « s’emploient à préparer ce qui ressemble aux conflits de demain en s’introduisant dans les infrastructures des systèmes les plus critiques. » Et c’est l’une des cinq tendances des menaces observées en France et en Europe.

« La compromission de systèmes d’information à des fins d’espionnage n’est pas un fait nouveau et ces attaques ont représenté en 2018 une préoccupation majeure pour l’ANSSI. Un intérêt renforcé des attaquants à l’égard des secteurs d’activité d’importance vitale et infrastructures critiques et spécifiques a pu être constaté, à l’instar des secteurs de la défense, de la santé ou encore de la recherche », lit-on dans le rapport.

Et ce dernier ajoute : « Cette menace se caractérise par l’extrême discrétion dont font preuve les groupes d’attaquants et le soin apporté à la phase de planification. Leurs modes opératoires s’appuit généralement sur un haut degré de sophistication technique et leurs attaques – très ciblées – s’étalent sur de longues périodes. D’importants moyens logistiques, humains et financiers sont mobilisés par les attaquants pour atteindre de tels objectifs ». Bref, c’est un façon de dire que des États sont à la manoeuvre…

Sur ce point, M. Poupard est toujours réticent à désigner l’origine des attaques informatiques. Alors que ses homologues américains et britanniques n’hésitent pas à le faire, il en a expliqué les raisons à l’antenne de France Inter, en abordant les affaires de cyber-espionnage au sens large.

« Le monde de l’espionnage ne s’arrête pas à nos ennemis. On ne se protège pas indifféremment des uns et des autres. Que ça vienne de l’est ou de l’ouest, les attaques restent des attaques et pour s’en protéger, il faut prévenir, anticiper et concevoir des systèmes numériques durcis », a affirmé M. Poupard.

Autre tendance identifiée par l’ANSSI : les attaques indirectes. « De plus en plus d’attaquants choisissent de compromettre une cible intermédiaire [fournisseur, prestataire, etc] et d’exploiter la relation de confiance qui l’unit à la cible finale pour toucher cette dernière. La menace que représentent les attaques indirectes augmente au fur et à mesure que les cibles finales se sécurisent », explique le rapport. Or, ajoute-t-il, la « compromission d’un seul intermédiaire suffit parfois à obtenir un accès privilégié à plusieurs organisations, démultipliant ainsi le retour sur investissement des attaquants », qui peuvent alors « mener des campagnes d’ampleur visant de multiples cibles à fort intérêt stratégique. »

Une troisième tendance évoquée par l’ANSSI concerne les opérations de déstabilisation et d’influence. Là, il ne s’agit pas de la diffusion d’infox sur les réseaux sociaux mais de tentatives de dérober des données à des organisations politiques et/ou à saboter leur communication en ligne [defaçage de site, attaque par déni de service, etc]. Et cela n’exige pas de compétences techniques paticulièrement poussées.

« Les opérations de déstabilisation et d’influence ont été particulièrement nombreuses en 2018. Sans être très sophistiquées, ces attaques ont un fort impact symbolique, lié à la nature des cibles visées et aux revendications dont elles font l’objet », relève l’agence.

Enfin, les deux dernières tendances observées par l’ANSSI relèvent de l’escroquerie en ligne. L’une concerne les cryptomonnaies, avec des attaquants de plus en plus organisés en réseaux qui profitent des failles de sécurité des systèmes « pour compromettre un grand nombre d’équipements par le dépôt discret de mineurs de cryptomonnaies ». Ces derniers n’ont pas d’autre objectif que celui de s’enrichir.

S’agissant de la fraude en ligne, l’ANSSI a remarqué des évolutions récentes dans les pratiques en cours. Ainsi, les fraudeurs se tournent de plus en plus vers des cibles « moins exposées mais plus vulnérables », comme les collectivités territoriales et les acteurs du secteur de la santé, cibles de campagne d’hameçonnage [ou phishing]. Généralement, les attaquants cherchent à s’emparer d’informations personnelles ou exigent le paiement de rançons après le chiffrement de données.

Photo : ANSSI

Conformément à l'article 38 de la Loi 78-17 du 6 janvier 1978 modifiée, vous disposez d'un droit d'accès, de modification, de rectification et de suppression des données vous concernant. [Voir les règles de confidentialité]