Cybersécurité : Les tendances vues par les responsables de CERTs français

Les informations sur les attaques circulent plus vite

Nha-Khanh Nguyen, directrice adjointe du CSIRT-PJ, complète ce constat : « on peut avoir l’impression qu’il y a de plus en plus d’attaques de rançongiciel, mais en réalité nous observons un morcellement des groupes d’attaquants. Il y a toujours des groupes très virulents comme LockBit, Akira, qui sont des têtes d’affiche depuis plusieurs années, mais il y a de plus en plus de petits groupes qui se créent, mènent quelques attaques, puis disparaissent ».

Le CSIRT de la Police Judiciaire est un peu particulier puisqu’il n’a pas pour mission de faire de la réponse à incident, mais il travaille au quotidien avec les enquêteurs afin d’alimenter les enquêtes. Ses experts analysent les serveurs de contrôle, d’exfiltration ou d’attaque, analysent les malwares et les modes opératoires des attaquants.

Les chiffres collectés par l’OFAC (Office anti-cybercriminalité) dont le CSIRT-PJ fait partie font apparaître une tendance à la baisse du nombre d’attaques avec rançongiciel, avec un peu moins de 350 faits qui ont été l’objet d’un dépôt de plainte, en 2025 : « cette tendance à la baisse s’explique d’une part par le fait que la sécurité s’est améliorée et les attaques aboutissent un peu moins. A chaque incident, tout le monde partage ses indices de compromission et les modes opératoires, ce qui permet à tous de mieux bloquer les attaques ».

« Notre but est de démanteler les groupes et d’interpeller les auteurs des attaques où qu’ils soient dans le monde grâce à la coopération internationale, via Europol. Dans ce cadre, les CERT sont en quelque sorte nos capteurs qui nous permettent d’avancer de manière significative dans nos enquêtes ».

La responsable pointe aussi les actions menées à l’international qui ont permis de démanteler des réseaux de bots et mener des arrestations : « la France est un peu moins ciblée par les rançongiciel car nous sommes considérés comme des mauvais payeurs par les groupes de rançongiciel. Nous le savons par l’analyse des forums et serveurs de chats que nous saisissons. Les attaquants échangent sur le fait que les français ne paient jamais les rançons, ce qui est une bonne nouvelle ! »

Vincent Nguyen confirme cette exception française : « la fréquence des attaques chez nos clients est de l’ordre de 0,5 % en France, soir une entreprise sur 200 est victime d’une attaque par rançongiciel. En Allemagne, ce taux est de 0,9 % ». Le RSSI de Stoïk note toutefois la complexification des attaques, avec 60 % de ressources supplémentaires nécessaires pour traiter les attaques aujourd’hui : « les systèmes d’information sont plus complexes, mais les attaquants effectuent de plus en plus des pivots et rebondissent entre les systèmes. Ils attaquent les ESN pour rebondir chez leurs clients et quand ils mettaient en œuvre une méthode de propagation pour leur malware, aujourd’hui, ils déploient des malwares en cascade ».

Thibaud Binétruy, président de l’InterCERT France et directeur du CERT de Suez, souligne : « il y a aujourd’hui moins de victimes d’attaques critiques, mais les équipes entravent beaucoup de petits événements cyber, ce qui les empêche de dégénérer. Pour donner un exemple concret, nous avons vécu un événement dans une filiale et lorsque nous sommes arrivés, nous avons trouvé des alertes qui n’avaient pas été gérées par l’équipe locale. Ils avaient les outils, mais pas les personnes derrière. C’est le point essentiel d’une bonne défense - avoir à la fois les outils et les experts ».

Le président de l’association rappelle que l’essentiel des attaques ne sont pas ciblées et les attaquants sont animés par l'appât du gain et l'opportunité ; qu’il s’agisse d’une TPME, TPE, une entreprise industrielle, un hôpital, cela n’a pas d’importance.

Les CERT constatent la montée en puissance des infostealers

Parmi les évolutions récentes, cette érosion de l’efficacité des rançongiciels qui s’accompagne d’une montée en puissance des cleptogiciels (ou infostealers) qui savent rester sous les radars des EDR.

Pierre Foucault est responsable du pôle anticipation du CERT de Bouygues Telecom qui regroupe les activités de renseignement sur les menaces (ou Threat Intelligence) et de VOC pour la gestion des vulnérabilités. Il explique qu’il faut aujourd’hui porter une attention toute particulière aux infostealers : « ces malwares sont conçus pour passer sous les antivirus et voler les secrets stockés sur les machines. L’objectif est de récupérer les identifiants et mots de passe dans le navigateur. Lorsqu’on n’a pas activé de MFA sur les accès distants, c’est une menace à prendre en considération ». L’expert rappelle qu’un couple identifiant/mot de passe est commercialisé en moyenne 5 $ sur le darknet. Un coût dérisoire pour initier une attaque. 

Thibaud Binétruy rejoint son collègue sur ce danger de ce mélange pro/perso chez beaucoup d’adeptes du télétravail : « c’est un vecteur d’attaque important aujourd’hui ; des gens jouent sur leur PC professionnel, d’autres utilisent leur PC personnel pour travailler. Or, si nous pouvons défendre le périmètre d'entreprise, nous ne pouvons pas installer de solutions de sécurité sur les PC personnels. Cette séparation pro/perso est essentielle ».

« La menace évolue en permanence. Il faut se tenir à jour, bien connaître les modes d’action des attaquants et en cela le partage est important. Si je n’échange pas, je ne connais que ce que je vois. Si je mets en commun mes connaissances avec les différentes équipes de réponse à incident alors chacun peut mettre en œuvre des mesures pour se protéger ».

Nha-Khanh Nguyen rappelle que la vague de fausses alertes à la bombes dans les lycées et collèges en 2023 avait pour origine une fuite de données sur les espaces numériques de travail dont l’origine était un crack pour GTA porteur d’un infostealers. Pierre Foucault donne l’exemple de Stryker, fabricant d’équipements médicaux américain dont 80 000 équipements ont été effacés (wipping) via Microsoft Intune, suite au vol des identifiants d’un administrateur Microsoft 365 par un groupe affilié à l’Iran… « Il ne faut pas sous-estimer les infostealers. Il faut activer le MFA partout et tout le temps. Une application comme Authenticator est très fiable et si vous pouvez déployer les clés physiques, c’est le top ! », résume-t-il.

Une convergence forte entre la cyber et l’univers de la fraude

Pour Pierre Foucault, une autre tendance forte du moment est la convergence entre la fraude et la cyber. Il a créé avec le responsable du CERT de La Poste un groupe de travail sur la fraude : « notre CERT et beaucoup d’autres membres de l’InterCERT l’ont observé, avec de nouveaux types d’incidents qui sont associés à des tentatives de fraude. Historiquement, dans les entreprises, les services fraude et cyber communiquaient très peu. Leurs périmètres étaient différents, mais ces dernières années, nous avons observé une convergence des incidents. Sur les petites et moyennes structures, le vecteur initial est généralement l’email, le phishing. Jusqu’à peu, les bonnes pratiques étaient très simples : regarder l’origine du message, trouver des fautes dans le contenu ».

Las, les attaquants disposent de nouveaux outils qui leur évitent de faire ce genre d’erreurs et, en se basant sur d’autres sources d’information. Ils savent personnaliser leurs messages, ce qui pousse parfois les utilisateurs à donner leurs credentials : « derrière, le fraudeur ne va pas déployer de rançongiciel, mais il va lire la boîte email de sa cible, va s’immiscer dans les conversations avec les clients ou des prospects pour demander un changement de RIB, etc. C’est très fréquent et cela peut tuer une entreprise. Entre 2023 et 2024, il y a une augmentation de 75 % des cas de fraude de ce type remontés auprès des autorités ».

« Théoriquement, pour 5 $, quelqu’un peut avoir accès à votre système d’information à distance. C’est une menace qui croît et sur laquelle il faut communiquer. [...] L’infostealer attaque un PC et tous les mots de passe sont exfiltrés ».

Pour Thibaud Binétruy, la meilleure protection contre ce type de fraude passe par la mise en place de processus solides sur les actions critiques, notamment sur les changements d’email, d’adresse de facturation, etc : « les processus vont vous permettre de remonter des tentatives de fraude et surtout faire apparaître des fraudes que l’on ne détecte pas, la fraude interne dont l’importance est monstrueuse. Je suis intervenu sur des cas de ce type où le comportement d’un collaborateur avait été repéré sur une opération bizarre. Nous nous sommes rendu compte qu’il détournait de l’argent depuis plusieurs années… De bons processus permettent de déjouer des fraudes externes, mais aussi de repérer des fraudes internes ».

Vincent Nguyen ne dira pas le contraire : « nous observons un pic de fraude lors des congés tout simplement parce que les personnes chargées de vérifier les processus sont absentes et au lieu d’une double vérification du montant, une seule personne valide le processus… » Détecter une fraude comptable peut demander des mois et 3 mois plus tard, il y a souvent beaucoup moins d’éléments utiles pour l’investigation lorsque l’entreprise utilise une application comptable SaaS.

L’IA, une menace encore fantôme

Si beaucoup a été écrit sur les cas de Deepfake sur Teams, une réinvention de l’arnaque au président, Thibaud Binétruy relativise le rôle de l’IA dans les cas de fraude actuellement observés : « je ne sais pas si l’IA apporte beaucoup de choses ; les attaquants sont déjà très créatifs ! Ainsi, nous avons vu des fraudeurs qui envoient des bons de commande signés par un responsable dont ils viennent d’apprendre qu’il vient de quitter l’entreprise… Cela dit, l’internationalisation de la traduction a beaucoup été améliorée par l’IA ».

Pierre Foucault souligne néanmoins qu’avec l’IA, les fraudeurs ont de nouvelles capacités à comprendre les processus : « avant, ils devaient lire tous les emails pour préparer leur attaque. Aujourd’hui, ils utilisent Claude ou ChatGPT pour le faire. Ils vont beaucoup plus vite. De plus, des fraudeurs qui n’ont pas un niveau en informatique très élevé utilisent l’IA pour construire de petites automatisations pour aller plus vite ».

L’IA va avoir un impact sur ce secteur économique que constitue le cybercriminalité. Ceux qui étaient payés pour traduire les messages ou les écrans des sites de phishing sont aujourd’hui remplacés par des IA. Le coût et le délai pour monter une attaque s’abaissent. Le président d‘InterCERT France reconnaît : « le vishing (falsification de la voix) est un énorme "game changer" car on peut générer une voix ou une vidéo avec très peu de sons et d’images. C’est extrêmement trompeur ».

Pour contrer ces menaces augmentées par l’IA, Vincent Nguyen évoque une détection basée sur des indicateurs psychologiques comme la pression mise par l’interlocuteur, la notion d’urgence, la peur : « lorsque nous faisons une surveillance des échanges email, il est possible de détecter une tentative de fraude avec des indicateurs psychologiques, complétés par des indicateurs techniques, comme le fait qu’il s’agisse d’une nouvelle adresse email, qu’il s’agisse d’une nouvelle version de la facture ou que l’analyse du fichier fait apparaître plusieurs images superposées. En exploitant tous ces indicateurs, il est possible de faire de l’anti-fraude avec succès ».

Plus que jamais, l'InterCERT France souligne l'importance du partage des informations et des expériences pour contrer ces menaces en évolution rapide.