La question sur la cybersécurité rebondit… Dans son bilan des menaces informatiques, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) revient sur les principales tendances qui ont caractérisé le paysage cyber en 2021. Elle attire également l’attention sur les menaces liées au développement à court terme. Alors que la généralisation des applications numériques continue d’être un défi pour les entreprises et les administrations, l’agence constate une amélioration constante des capacités des acteurs malveillants. Ainsi, le nombre d’intrusions avérées dans les systèmes informatiques signalées à l’ANSSI a augmenté de 37 % en 2020-2021.
Les raisons des cyberattaques
Les années 2019 et 2020 ont été marquées par une explosion des ransomwares dans le monde de la cybersécurité. Cette menace s’est stabilisée bien qu’à un niveau très élevé en 2020-2021, il y a eu 203 attaques servies contre 192 en 2020. Les ETI représentent 34 % des victimes en 2021. Ces attaques à but lucratif, qui ont occupé la première place sur la scène médiatique, ne doivent pas faire oublier les campagnes d’espionnage et de sabotage particulièrement inquiétantes. Les opérations d’espionnage informatique restent la cible principale des attaques des pays de bonne réputation. Elles constituent la majorité des activités menées dans le cadre des opérations de cyberdéfense de l’ANSSI. Cette menace touche à la fois les acteurs institutionnels et privés.
L’accent mis sur les infrastructures critiques est également un problème sérieux de cybersécurité. Certes, les cybercriminels limitent les attaques sur les infrastructures critiques afin de gagner en discrétion et d’être moins exposés aux mesures répressives des États. Cependant, les attaques contre les infrastructures critiques par des acteurs étatiques se poursuivent, en particulier dans le contexte de tensions géopolitiques accrues.
Des vulnérabilités de mieux en mieux exploitées
Malgré les publications sur les vulnérabilités, il y a encore trop d’organisations qui n’appliquent pas les correctifs à temps. Cela permet aux attaquants d’en profiter. Selon l’Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA), les attaques contre la chaîne d’approvisionnement ont continué d’augmenter entre janvier 2020 et juillet 2021. Cette focalisation accrue sur les fournisseurs de services numériques présente un nouveau risque. En effet, leurs outils numériques peuvent devenir des vecteurs de propagation à grande vitesse des cyberattaques et conduisent à des compromis en cascade.
Les attaquants dans le domaine de la cybersécurité profitent également des nouvelles applications numériques telles que le cloud pour exploiter les informations. La crise sanitaire a accéléré son utilisation dans les secteurs public et privé. La généralisation du cloud augmente mécaniquement le niveau de risque et la surface d’attaque. En effet, des lacunes en matière de sécurité des données sont encore trop souvent constatées dans les activités opérationnelles de l’ANSSI.
La diffusion des données divulguées facilite de nombreuses attaques informatiques. En effet, les données extraites contiennent généralement des identifiants dans les systèmes d’information et constituent donc une passerelle idéale pour les attaquants opportunistes. Le renforcement de la cybersécurité de ces données doit ainsi être une priorité.
Enfin, comme la guerre entre la Russie et l’Ukraine couvre aussi le cyberespace et la cybersécurité, les cyberattaques des deux côtés s’intensifient. En conséquence, le directeur général de l’ANSSI conseille aux organismes français d’être particulièrement vigilants. En effet, les tensions internationales actuelles peuvent parfois s’accompagner d’effets dans le cyberespace auxquels il faut s’attendre. Bien qu’une cybermenace visant les organisations françaises n’ait pas encore été détectée au vu des évènements récents, l’ANSSI suit de près la situation. Dans ce contexte, la mise en place de mesures de cybersécurité et le renforcement du niveau de vigilance sont nécessaires pour garantir une protection au niveau approprié de l’organisation.
Les mesures de cyberprotection
Dans un premier temps, l’agence française recommande de renforcer l’authentification dans les systèmes d’information. En d’autres termes, les entreprises et les administrations devraient mettre en œuvre la double authentification. Il s’agit d’un processus consistant à présenter deux identifiants distincts pour établir un lien vers un compte ou un site.
Dans le cas de l’ANSSI, les deux facteurs pourraient être, par exemple, un mot de passe et un support matériel tel qu’une carte magnétique. Il est également nécessaire de configurer le système de surveillance des évènements enregistrés. Cela permet de détecter une éventuelle faille de sécurité et de réagir au plus vite. Pendant l’incident, ces évènements permettraient aussi une compréhension plus rapide de la situation.
À part cela, L’ANSSI recommande aussi des sauvegardes régulières des données, mais surtout des sauvegardes hors ligne pour les informations et applications critiques. Le fait qu’ils soient déconnectés du système informatique est, selon l’agence, un moyen d’empêcher leur cryptage. Ces banques de données doivent aussi être protégées contre les infections du système par des solutions de stockage à froid telles que les disques durs externes.
L’établissement d’une liste prioritaire des services numériques critiques de cybersécurité est aussi préconisé par l’ANSSI. Elle estime qu’une organisation doit avoir une vision claire de ses systèmes d’information et de leur criticité. Cela a pour but de pouvoir prioriser les activités de sécurité et de réagir efficacement en cas d’incident. Les opérateurs doivent donc inventorier leurs services numériques et les répertorier par sensibilité.
Enfin, l’agence recommande aux entreprises et aux administrations de s’assurer qu’il existe un dispositif de gestion de crise adapté à une cyberattaque. Cela comprend l’identification des points de contact d’urgence, y compris les fournisseurs de services numériques. Cela implique aussi la vérification que les numéros sont sur papier. Il faut également définir un plan de réponse aux cyberattaques liées aux appareils afin d’assurer la continuité des activités de votre organisation, puis sa reprise.
