L'Anssi s'inquiète du risque de cyber-sabotage de groupes liés à la Russie

En 2022, Vincent Strubel, directeur général de l’ANSSI (agence nationale de la sécurité des systèmes d’information) annonçait une baisse des attaques dans son panorama des cybermenaces. Le millésime 2023 observe lui un regain sensible des cyber-offensives. Les chiffres parlent d’eux-mêmes. En 2022, le nombre d’évènements traités par l’Anssi était de 3 018, en 2023, ils sont montés à 3 703 (+30%). « Ils sont très variés et touchent différentes structures », rapporte le dirigeant.

Une extension des cibles du cyber-espionnage

Il distingue néanmoins trois familles d’actions mobilisant l’expertise de l’agence. La première est l’espionnage, « qui nous occupe le plus », souligne Vincent Strubel. Il observe une forte activité en 2023 avec des activités très ciblées dans les domaines de la défense, la diplomatie, le vol de secrets commerciaux, etc. Sur l’écosystème du cyber-espionnage, le panorama évolue. Les groupes affiliés à la Chine restent très actifs, mais « les groupes liés à la Russie sont de retour après avoir été occupés ailleurs en 2022 », glisse le DG de l’Anssi.

Le profil des cibles s’élargit pour s’en prendre à « des administrations sensibles, des think tank, des organismes de normalisation,… ». poursuit le responsable. Autre élément, les intrusions se décalent vers les terminaux individuels (smartphone, PC portable) via des spywares comme l’affaire Pegasus l’a montrée. Enfin, l’Anssi constate des phénomènes de « re-compromission où les attaquants reviennent et des cas de poly-compromission avec plusieurs attaques ».

L’inquiétude du pré-positionnement de groupes liés à la Russie

« Ce qui nous inquiète le plus aujourd’hui, c’est le sabotage étatique sur des infrastructures critiques », indique Vincent Strubel lors d’un point presse présentant le panorama des cybermenaces. Et de cibler clairement « des groupes d’attaquants liés à la Russie complétement désinhibés et agressifs ». L’Anssi constate que ces groupes cherchent à « se pré-positionner dans les réseaux. Ils utilisent des techniques de cyber-espionnage pour voler des identifiants, acquérir des privilèges, mais ensuite s’arrêtent », ajoute Vincent Strubel. Les craintes est qu’à un moment ou un autre, ils activent des charges, « comme des wiper mais aussi la destruction d’infrastructures physiques via l’OT », prévient-il.

Bien évidemment, le contexte géopolitique et en particulier la guerre en Ukraine n’est pas étranger à ce regain de campagne de déstabilisation ou de sabotage. Récemment, Viginum a rendu un rapport mettant en lumière un réseau de désinformation pro-russe nommé Portal Kombat. Cet été, la France sera aussi au cœur de l’actualité avec la tenue des Jeux Olympiques et Paralympiques. Vincent Strubel admet, « tous les pans de la menace seront focalisés sur les JO et sur la France ». Il rassure en détaillant la préparation, l’accompagnement des différents acteurs (audit, outillage, kit d’entraînement à une cyber-crise. « Nous serons prêts le moment venu », assure-t-il.

Recomposition de l’écosystème des ransomwares

Si les affaires d’espionnage et de déstabilisation occupent beaucoup l’Anssi, les attaques par rançongiciel continue de mobiliser les experts de l’agence. En 2023, ils ont eu à connaître 143 affaires de ce type contre 109 en 2022. Les attaques ont été particulièrement intenses au 1^er semestre 2023. Pour expliquer ce sursaut, le cyber pompier constate une recomposition de l’écosystème des groupes de ransomware après l’arrêt de certaines franchises comme Conti, Qakbot, ou plus récemment les opérations pour affaiblir BlackCat et Lockbit. Autre observation, les groupes sont plus nombreux et les méthodes d’attaque s’industrialise avec une recrudescence des infostealer au niveau du navigateur pour voler des accès. Une première étape nécessaire pour s’ouvrir grande les portes du cloud, un secteur suscitant un grand intérêt pour les cybercriminels.

Autre enseignement du panorama de l’Anssi, « on n’a plus besoin d’être une cible pour être une victime » a indiqué Vincent Strubel dans un entretien à nos confrères de France Info. Entendez par là que les cybercriminels ratisse large en s’attaquant à une grande variété de structures. Si les collectivités territoriales et les établissements de santé sont souvent médiatisés, les associations sont également devenues des cibles rapporte l’agence. Une diversité qui ne doit pas faire oublier les règles d’hygiène en matière de cybersécurité notamment sur l’application des correctifs de sécurité après la découverte des vulnérabilités. « Le délai est souvent trop long pour les entreprises et les attaquants se servent des failles très rapidement. Cela se compte en jours, voire en heures », déclare Mathieu Feuillet. Par exemple, la récente faille dans Ivanti a été exploitée massivement et très rapidement. « Les groupes ciblent de plus en plus les équipements périphériques comme les routeurs, les VPN, les passerelles anti-spam pour accéder aux réseaux », souligne Vincent Strubel. Les failles les plus marquantes relevées par l’Anssi concernent Fortinet, Progress Software (ciblant MoveIT), Citrix (Netscaler), ESxi de VMware, Cisco.

Pour renforce la protection, le directeur général de l'Anssi compte sur la transposition de la directive NIS 2 et du CRA (cyber resilience act). Il reste néanmoins pragmatique, pour des petites entreprises « il faudra compter environ 3 ans pour qu’elles se mettent au niveau requis ». Mais il s’agit d’investir dans la cybersécurité des « 5 prochaines années », conclut-il.