Vulnérabilités et ESN : deux points noirs pour l’Anssi contre les cyberattaques

Pas d’explosion sur le front des interventions de l’Agence nationale de la sécurité des systèmes d’information (Anssi) du côté des ransomwares, l’an dernier. L’Anssi est ainsi intervenue sur 203 cas en 2021, contre 192 en 2020. Cette apparente stabilisation de la menace mérite toutefois d’être relativisée : le périmètre d’intervention de l’Agence est relativement limité. De son côté, pour cette même menace, la plateforme Cybermalveillance.gouv.fr a reçu 1 633 demandes d’assistance d’entreprises l’an passé, et 312 de collectivités, pour un total en hausse de 95 % par rapport à 2020.

Dans un communiqué de presse, l’Anssi s’attache toutefois à alerter sur d’autres menaces, moins visibles : « ces attaques à finalité lucrative qui ont occupé le devant de la scène médiatique ne doivent pas occulter les campagnes d’espionnage et de sabotage, particulièrement préoccupantes. Les opérations d’espionnage informatique restent en effet la principale finalité poursuivie par les attaquants réputés étatiques et constituent l’essentiel de l’activité traitée dans le cadre des opérations de cyberdéfense conduites par l’Anssi. Cette menace concerne autant les acteurs institutionnels que les acteurs privés ».

Plus loin, l’Agence avance des chiffres pour aider à quantifier le phénomène : elle dit avoir « eu connaissance de 1 082 intrusions avérées dans des systèmes d’information en 2021, pour 786 en 2020. Cela représente une hausse de 37 % des intrusions avérées dans l’année ».

Mais pour quelle finalité ? En fait, relève l’Anssi, le déterminer n’est pas toujours aisé : « les attaquants étatiques s’inspirent également des méthodes cybercriminelles, en s’appropriant des codes et outils traditionnellement utilisés par les attaquants cybercriminels, tels que des rançongiciels ou des techniques d’hameçonnage ». Dès lors, « cette porosité entre différents profils d’attaquants complique la caractérisation des activités malveillantes ».

Pour autant, précise l’Agence, « en 2021, sur les 17 opérations de cyberdéfense traitées par l’ANSSI, 14 étaient liées à des opérations d’espionnage informatique, impliquant pour 9 d’entre elles des modes opératoires (MOA) réputés chinois. De même, sur 8 incidents majeurs, 5 concernent des MOA réputés chinois ».

Reste que les opportunités ne manquent pas pour les acteurs malveillants. Si l’année écoulée a été un millésime exceptionnel pour les vulnérabilités critiques, l’Anssi souligne qu’encore « trop d’organisations n’appliquent pas à temps les correctifs publiés par les éditeurs de logiciel et offrent aux attaquants un vecteur d’infection initiale relativement aisé à mettre en œuvre sur les systèmes exposés sur Internet ». Car les assaillants ne traînent pas : « dès la mise à disposition d’une méthode d’exploitation, en l’espace de quelques jours voire de quelques heures, l’exploitation de vulnérabilités peut être industrialisée ». Et cela quelle que soit la finalité, « depuis l’espionnage informatique jusqu’à des attaques à finalité lucrative ».

L’Agence n’épargne pas non plus les entreprises de services numériques (ESN). Elle dit avoir « traité 18 compromissions » ayant affecté des ESN l’an dernier, contre 4 en 2020. Las, il y a là « un risque de propagation rapide d’une attaque qui peut parfois concerner un secteur d’activité entier ou une zone géographique précise, notamment lorsque l’attaque cible une entreprise de service numérique locale ou spécialisée dans un secteur d’activité particulier ».

Huit cas sont connus publiquement pour 2021, Infovista, Berger-Levrault, Solware, LinkOffice, Maitrex, Idline, un prestataire de la ville du Cannet des Maures – Inetum – ou encore Xefi, du moins selon l’un de ses clients et les allégations d’Everest ; et suggèrent les données divulguées par le groupe début octobre dernier.

Pour l’Agence, « les élections législatives et présidentielles de 2022 ainsi que la tenue de la coupe du monde de rugby en 2023 et des Jeux olympiques en France en 2024 seront autant d’évènements que les attaquants chercheront à exploiter ». Dans ce contexte, « les cibles potentielles sont multiples et présentent des niveaux de maturité en sécurité des systèmes d’information très variables ». D’où l’importance « d’une vigilance particulière de l’ensemble des parties prenantes ».