Ransomware : l’Anssi fait le bilan d’une année 2019 difficile

L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a profité de l’édition 2020 du Forum International de la Cybersécurité (FIC), qui s’achève aujourd’hui à Lille, pour présenter son bilan sur les attaques par rançongiciels l’an passé. De l’aveu même de l’agence, celui-ci ne présente qu’un échantillon limité pour la France à partir duquel il est difficile de tirer des conclusions, sinon une : les incidents médiatisés ne représentent qu’une part très limitée de ceux qui surviennent effectivement.

Ainsi, l’Anssi indique être intervenue sur 69 incidents, dont quelques-uns connus : Altran, Fleury Michon, Ramsay Générale de Santé, et le CHU de Rouen. Les incidents ayant affecté le groupe M6, l’université de Brest ou encore Go Sport ne sont pas mentionnés. Et ce sont bien loin d’être les seuls. Chez TIC Santé, pour le seul secteur de la santé, donc, Léo Caravagna, recense cinq événements rendus publics sur un total de 18 évoqués dans le rapport de l’Anssi. Et peut-être faut-il ajouter à cette liste l’épisode printanier du CHU de Montpellier, qui a détecté et isolé sur un segment réseau Qbot, utilisé notamment dans la chaîne d’attaque conduisant à la détonation de MegaCortex, et distribué par Emotet. Ce qui donnerait un total de 6 incidents sur 18 mentionnés par l’Anssi.

Le secteur des collectivités territoriales est également sur-représenté dans le rapport de l’agence, avec 14 incidents, dont seule une partie n’est encore une fois connue, avec notamment les communautés d’agglomération de Grand Cognac, et Gevrey-Nuits – avec la mairie de Nuits-Saint-Georges –, la communauté de communes des trois rivières, ou encore la Chambre des métiers et de l’artisanat d’Indre-et-Loire. Là encore, la médiatisation apparaît fortement limitée et, la divulgation, plutôt bien contrôlée. Dans cette perspective, l’affirmation de Guillaume Poupard, en ouverture de cette édition 2020 du FIC, prend un éclairage tout particulier : « si vous voulez vous faire peur, dites-vous que ce que vous trouvez en sources ouvertes sur les attaques, ce n’est peut-être que 10 % de la réalité ».

Le rapport de l’Anssi semble également confirmer ce que nous confiaient différentes sources fin novembre : les équipes de réponse à incident de l’agence étaient très occupées, sinon débordées. Certes, le printemps n’avait pas été de tout repos, avec 8 incidents par mois, sur trois mois, d’avril à juin. Mais si septembre a commencé en douceur, octobre a constitué, en comparaison, une véritable explosion. La chronologie des incidents, entre l’épisode qui a frappé le groupe M6 et ce qu’indiquait l’Anssi dans son rapport sur le ransomware Clop, laisse à penser que la seconde moitié du mois d’octobre s’est avérée bien plus dense que la première. Et elle a été suivie par un mois de novembre explosif, avec rien moins que 12 incidents à gérer alors que d’aucuns nous glissaient alors : « ça pète de partout ».

Guillaume Poupard semble s’attendre à ce que la situation ne s’améliore pas, loin de là. « Globalement, on est sur une courbe exponentielle », a-t-il ainsi indiqué à nos confrères de l’Usine Digitale. Toute la question est aujourd’hui de savoir si l’agence dispose des moyens nécessaires pour faire face à vagues plus puissantes que celle de l’automne dernier, et s’inscrivant plus dans la durée. Un printemps 2020 aussi régulier que celui de l’an dernier, mais avec l’intensité de l’automne passé, pourrait être assez révélateur.