Des JO aux TPE, la menace cyber continue à déferler sur la France
Au cours de l’année 2024, l’ANSSI a traité, avec différents niveaux de mobilisation, 4 386 événements de sécurité, soit une augmentation de 15 % par rapport à l’année précédente.
La menace portée par l’écosystème cybercriminel - principalement caractérisée par des attaques visant l’extorsion de rançons, via des fuites de données et des attaques par rançongiciel – s’est imposée comme un risque global et quotidien pour toutes les organisations françaises.
Parmi les victimes de rançongiciels connues de L’Agence nationale de la sécurité des systèmes d’information (ANSSI),l’autorité nationale en matière de cybersécurité, les PME/TPE/ETI (37 %), les collectivités territoriales (17 %), ainsi que les établissements d’enseignement supérieur (12 %) et les entreprises stratégiques (12 %) ont été plus particulièrement touchés, avec des conséquences souvent très graves sur leur fonctionnement, leur réputation et leur continuité d’activité. Plusieurs groupes hacktivistes ont revendiqué la prise de contrôle de petites installations industrielles, majoritairement utilisées pour la production d’énergie renouvelable. Ces attaques visaient des installations appartenant à des particuliers ou à des TPE/ PME, et dont l’interface de gestion était exposée sur Internet sans authentification ou avec un mot de passe par défaut. Ces attaques techniquement peu avancées sont exploitées surtout sur le plan médiatique. L’ANSSI observe ainsi une disproportion entre les revendications des attaquants et les conséquences des attaques : dans la grande majorité des cas, les hacktivistes ont exagéré l’impact de leurs actions dans le but d’ac croître leur visibilité. Ces attaques représentent une évolution vers une logique de sabotage, pour laquelle une vigilance s’impose.
À l’instar des années précédentes, ce sont les attaques à finalité d’espionnage qui ont le plus mobilisé les équipes opérationnelles de l’ANSSI. Les attaquants réputés liés aux intérêts stratégiques russes ont poursuivi leurs attaques guidées principalement par la recherche d’informations pouvant soutenir leurs efforts militaires ou diplomatiques. De son côté, l’activité associée aux modes opératoires réputés chinois a été particulièrement dense et répandue à des fins de captation de renseignements d’ordres stratégique et économique. Par ailleurs, le ciblage d’opérateurs de télécommunications s’est avéré intense et plusieurs incidents d’importance ont été traités par l’Agence.
Mobilisation et vigilance
L’année 2024 a été marquée par l’organisation des JOP, dont l’exposition médiatique et la surface d’attaque ont constitué des opportunités majeures pour les acteurs malveillants. Cependant, aucune de ces attaques n’a porté atteinte au déroulement de l’événement grâce à la bonne préparation et la grande mobilisation des équipes de l’ANSSI et de l’ensemble de l’écosystème cyber français.
Un total de 548 événements de cybersécurité affectant des entités en lien avec l’organisation des JO a été rapporté à l’ANSSI entre le 8 mai et le 8 septembre 2024. Ces derniers ont été portés à la connaissance de l’Agence et ont donné lieu à un traitement par les équipes opérationnelles.
Sur les types d’événements de cybersécurité rapportés, près de la moitié des événements de cybersécurité correspondent à des indisponibilités dont un quart sont dues à des attaques par DDoS. Le reste des événements de cybersécurité correspondent à des tentatives de compromission ou des compromissions, des divulgations de données ou bien encore des signalements de vulnérabilités. Les secteurs d’activité les plus ciblés sont les entités gouvernementales, le sport, le divertissement (sites de compétitions et Paris 2024) et les télécommunications.
Outre des opportunités conjoncturelles comme les Jeux, les attaquants se saisissent de toutes les faiblesses techniques exposées par les systèmes d’information (SI). Face à ce niveau de sécurité insuffisant, l’Agence enjoint les organisations à durcir et maintenir en condition de sécurité leurs SI afin de réduire la surface d’attaque. En particulier, au regard du nombre et de l’impact des vulnérabilités affectant les équipements de sécurité situés en bordure de SI – qui ont représenté plus de la moitié des opérations de cyberdéfense de l’ANSSI - l’Agence rappelle la nécessité urgente d’appliquer les correctifs de sécurité et ce le plus rapidement possible afin de se protéger d’exploitations opportunistes.
En parallèle, l’utilisation des réseaux d’anonymisation par les attaquants se poursuit. Ces réseaux de machines compromises communiquant entre elles per mettent à un attaquant de dissimuler ses actions et rendre difficile leur imputation, à toutes les étapes de l’attaque informatique. Ils constituent des infrastructures qui se développent, se complexifient et dont les utilisateurs ne sont pas toujours clairement identifiables.
Les attaques par rançongiciel ont largement mobilisé les équipes de l’ANSSI en 2024 avec un nombre d’incidents comparable à l’année passée. Les attaques à but d’espionnage ont quant à elles été caractérisées par le ciblage soutenu d’équipements et d’infrastructures de télécommunications. Enfin, en plus des attaques à but d’espionnage et d’extorsion, qui restent les plus importantes en termes d’investissement des équipes de l’ANSSI, 2024 a marqué une hausse des attaques à finalité de déstabilisation, notamment opérées par des groupes hacktivistes.
L’ANSSI a traité en 2024 de multiples signalements relatifs au ciblage par des groupes hacktivistes ayant un faible niveau de technicité mais une forte capacité à médiatiser leurs activités, d’entités des secteurs de la production d’énergie renouvelable et de l’assainissement de l’eau. Les opérateurs de Cyber Army of Russia Reborn (CARR) et Lulzsec Muslims sont notamment parvenus à accéder à des interfaces de gestion exposées sur Internet. L’action la plus aboutie a mené à l’arrêt pendant quelques heures d’un parc éolien, entraînant pour la victime une perte financière de quelques milliers d’euros. Des revendications régulières de compromission d’équipements liés au secteur de l’eau ont été faites par des groupes hacktivistes pro-russes durant l’année 2024.
Le secteur de l’eau, critique par essence à la fois pour la population et les industries, et cela d’autant plus dans le contexte des JOP 2024, a fait l’objet d’une attention particulière par des attaquants. CARR a notamment revendiqué des attaques de faible sophistication technique contre des systèmes industriels de microcentrales hydroélectriques, dont la prise de contrôle à distance de la centrale hydroélectrique de Courlon-sur-Yonne qui concernait en réalité le moulin de Courlandon [65]. Le groupe a par la suite revendiqué la prise de contrôle à distance d’une station italienne de traitement des eaux à Dittaino (Sicile) et annoncé le ciblage de stations d’épuration de la Seine en vue de perturber les épreuves des JOP 2024 qui devaient s’y dérouler. Les efforts de sensibilisation et l’accompagnement des entités susceptibles d’être ciblées ont permis qu’aucune attaque ne soit relevée sur ce périmètre durant les Jeux.
Commentaires
Aucun commentaire
Ecrire un commentaire
Pour écrire un commentaire vous devez vous connecter à votre compte.
Si vous n'avez pas encore de compte nous vous invitons à vous inscrire gratuitement.
