Vincent Strudel et Mathieu Feuillet

Pour sa première conférence suite à sa nomination Vincent Strubel a rendu un hommage à son prédécesseur Guillaume Poupard. En préambule il a expliqué que la menace était persistance et intense, qu’elle n’épargne plus personne y compris les TPE et les PME, les hôpitaux... mais qu’elle peut être contrée grâce à des mesures simples. Il a rajouté que la menace d’espionnage était présente et qu’elle touchait tout type d’entreprise. Ces dernières sont attribuables principalement à des acteurs chinois, même si l’ANSSI n’a pas l’habitude de faire des attributions a précisé Vincent Strudel. Enfin, le dernier type de menace concerne le sabotage avec l’intervention d’Etats comme on l’a vue avec l’attaque sur les réseaux de satellites qui a rayonné sur toute l’Europe. Cette attaque a été attribuée à la fédération de Russie. Pour lui ses attaques sont du souvent à des serveurs non patchés suite à des vulnérabilités découvertes depuis plusieurs années.
Il a rappelé que l’ANSSI fait de l’imputation mais ne fait pas d’attribution suite à une attaque. En conclusion il a expliqué que la vigilance devrait renforcer avec l’arrivée d’évènement sportifs majeurs comme la coupe du monde de rugby où les jeux Olympiques.

Vers la convergence des outillages, un ciblage d’équipement périphérique et des acteurs privés

Le nombre d’incidents traités par l’ANSSI a diminué entre 2021 et 2022, même si globalement le nombre d’attaque a augmenté. (NDLR, il est vrai que pour les PME ET les TPE les plaintes sont routé en principe vers www.cybermalveillance.gouv.fr et que bon nombre de ces types d’entreprises ne déposent pas plainte et se débrouillent avec les moyens du bord)
Pour ce qui concerne l’amélioration des capacités des attaquants on a une convergence des outillages, un ciblage d’équipement périphérique et des acteurs privés toujours très actifs. Pour l’outillage, ils ont souvent pour source des États comme par exemple la fédération de Russie. On remarque une prolifération d’outils utilisés habituellement pour réaliser des tests de pénétration qui sont détournés par des attaquants. Ainsi du point de vue des défenseurs, ils doivent modifier leur système de défense pour s’adapter à ces nouveaux types d’attaques.

Concernant les périphériques les réseaux d’anonymisation les attaquants utilisent des routeurs non maintenus. Vincent Strubel a donné l’exemple d’une entreprise internationale qui utilisait des passerelles « chiffrantes », l’attaquant avait trouvé une solution pour s’introduire en les utilisant aux fins d’espionnage.

Enfin concernant les acteurs privés, il a cité le cas des détournements des solutions de NSO par certains clients. Il a cité en outre, le fait que des entreprises fournissent des services de pirates informatiques pour effectuer des missions d’espionnage soit via des États soit pour le compte d’entreprises concurrentes.

Puis Vincent Strubel a laissé la parole à Mathieu Feuillet, sous-directeur Opérations de l’ANSSI qui a détaillé les cybermenaces de 2022.

Selon Mathieu Feuillet, les gains financiers, l’espionnage et la déstabilisation restent les principaux objectifs des groupes de cybercriminels.
L’ANSSI a noté une diminution des ransomwares qu’elle a traité entre 2021 et 2022 en passant de 203 à 109. Toutefois sur l’ensemble du pays il note une recrudescence de ce type de cyberattaques. Ceci s’explique entre autre par la guerre en Ukraine qui a réorienté les activités des pirates informatiques. Les premières ciblent restent toujours les PME, TPÉ, les ETI et les hôpitaux. Par contre, l’ANSSI remarque qu’elle a peut-être moins de remontée du fait des actions des acteurs étatiques en régions.

Mathieu Feuillet met en avant les cryptominages actifs qui ont développé des systèmes de masquage pour rester plus longtemps dans les systèmes.

En ce qui concerne l’espionnage les activités se maintiennent à un niveau élevé et cible beaucoup mieux l’écosystème. Les attaquants ciblent des ETI des PME sous-traitants de grands comptes afin de contourner les mesures de sécurité déployées chez les grands comptes. Ces attaques sont plus difficiles à repérer et le contexte russo-ukrainien renforce cette tendance.

Enfin on a vu de plus nombreuses attaques d’Hacktivistes qui ont un impact modéré si ce n’est des défigurations de sitse... par contre, il rappelle que l’attaque d’Hacktivistes contre le satellite Casat a touché non seulement l’Ukraine mais aussi l’Europe et en particulier la France. Des zones blanches sont apparues et des équipements ont dû être remplacés. Autre exemple, un système gazier aux Pays Bas a subi un début d’attaque qui a été repéré par un éditeur de solutions de sécurité.

Le déploiement de patchs est impératif

Mathieu Feuillet considère qu’il faut particulièrement sensibiliser les entreprises à la nécessité
de patcher vite pour se prémunir contre les cyberattaques. Les serveurs virtuels doivent être particulièrement protégés ainsi que leur superviseur. Les applications Cloud deviennent une cible de choix donc il faut absolument renforcer les systèmes d’authentification.
En outre, la divulgation de données est extrêmement prégnante et elle peut donner lieu à des opérations de phishing.

Il y a deux types de menace : les attaques opportunistes qui peut-être parées grâce à une bonne hygiène informatique et les attaques en profondeurs. Pour les acteurs sensibles, ils doivent être au meilleur de l’état de l’art. Suite à l’entrée de la directive NIS 2 leur niveau de sécurité devrait être renforcé.

Concernant les ransomwares, l’ANSSI recommande de ne pas payer la rançon, l’ANSSI a édité un guide qui pousse les entreprises entre autre de faire des sauvegardes hors lignes.