Le panorama des cybermenaces de l'Anssi alerte sur les faiblesses du cloud et le cyberespionnage
L'Anssi vient de présenter son nouveau rapport sur les principales menaces. En 2021, elle a eu connaissance de 1082 intrusions, contre 786 en 2020. L'espionnage stratégique demeure la principale menace en France.
L'Agence nationale de la sécurité des systèmes d'information (Anssi) note une hausse continue de la menace dans son nouveau rapport publié ce mercredi 9 mars, qui propose un panorama de l'année 2021. Elle a eu connaissance de 1082 "intrusions avérées dans des systèmes d'information", contre 786 en 2020. Ce qui représente une hausse de 37% des intrusions.
les intentions ne changent pas
Cette hausse s'explique par l'évolution et l'amélioration des capacités des acteurs malveillants. Leurs principales intentions restent le gain financier, l'espionnage et la déstabilisation. La menace d'espionnage stratégique demeure "une constante" à prendre en compte. La France est particulièrement ciblée, note le rapport. En 2021, sur les 17 opérations de cyberdéfense traitées par l’Anssi, 14 étaient liées à des opérations d’espionnage informatique, impliquant pour 9 d’entre elles des modes opératoires réputés chinois.
Les acteurs malveillants ont également su saisir "une multitude d'opportunités" offertes par la généralisation d'usages numériques souvent mal maîtrisés, tels que le cloud. En effet, "des défauts de sécurisation des données ou de conteneurs sont encore trop souvent rapportés", déplore l'autorité.
Plus généralement, l'écosystème cybercriminel est marqué par "une professionnalisation et une spécialisation constante". Deux phénomènes qui entraînent "une multiplication des chaînes d'infection potentielles" et compliquent leur détection et leur suivi. La tendance du "Ransomware-a-a-Service" (RaaS), c'est-à-dire des rançongiciels vendus en tant que service, en est l'illustration.
Des cibles peu sécurisées et fragiles
En 2021, l'Anssi a suivi en moyenne une quarantaine de ransomwares différents. Cette menace reste majoritairement "opportuniste" et recherche des cibles "peu sécurisées" disposant de ressources financières importantes et ne supportant pas de rupture d'activité. Les PME/TPE/ETI sont les principales victimes, suivies par les collectivités territoriales à égalité avec les ministères. Les associations seraient les structures les moins visées par ce type d'attaque.
De plus, l'Anssi observe une "convergence des méthodes et outils" utilisés par plusieurs profils d'acteurs malveillants. Les entités étatiques utilisent désormais "des outils non-marquants" de manière plus courante. Une autre tendance observée est le partage d'outils entre différents modes opératoires liés à des Etats. Par ailleurs, comme de nombreux cybercriminels, des attaquants de niveau étatique ont recours à la technique du living-off-the-land (LOTF) qui consiste à utiliser des outils déjà présents sur le réseau de la victime, notamment des outils d’administration comme "PowerShell", pour arriver à leurs fins. Ainsi, ils sont plus difficiles à détecter car ils n’utilisent peu ou pas d’outils caractéristiques d’activités malveillantes.
Des avancées en matière de démantèlement et d'arrestation
Le ciblage d'infrastructures critiques reste également une préoccupation majeure, indique l'agence qui fait notamment référence aux attaques contre les établissements hospitaliers. La multiplication des opérations de démantèlement, les arrestations de réseaux cybercriminels menées par le biais de coopérations internationales ainsi que les prises de position de plusieurs États, notamment les États-Unis, semblent avoir eu un effet sur le ciblage des infrastructures critiques, ajoute-t-elle. Les cybercriminels pourraient ainsi éviter de compromettre volontairement ce type de structure dans un avenir proche.
Le gendarme cyber note qu'une vigilance particulière est indispensable dans le cadre de la présidence française au Conseil de l'Union européenne, des élections présidentielles et législatives en 2022 et des Jeux Olympiques et Paralympiques de Paris 2024.
A travers ce rapport, l'Anssi indique que deux mesures pourraient empêcher la propagation rapide à l'ensemble d'un système d'information. La première est la protection des administrateurs systèmes, en particulier pour les domaines "Active Directory". Leurs comptes d'administration ne doivent idéalement jamais être utilisés pour un usage de navigation internet, de messagerie ou de bureautique. La seconde est la segmentation réseau stricte en limitant les possibilités de flux entre les zones dédiées à des usages différents, par exemple selon les métiers, les emprises géographiques ou la typologie des machines.
SUR LE MÊME SUJET
Le panorama des cybermenaces de l'Anssi alerte sur les faiblesses du cloud et le cyberespionnage
Tous les champs sont obligatoires
0Commentaire
Réagir
