Ces dernières années, la fréquence des cyberattaques a crû de manière exponentielle. Tout laisse penser que la hausse de ces agressions s’inscrit dans une tendance de croissance structurelle et que cette tendance n’en est qu’à ses débuts, mais toutes les attaques présentent-elles le même niveau de risque ?
En 2021, l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) a noté une hausse de 37% des intrusions1 dans des SI en France. Les planètes se sont malheureusement alignées. En premier lieu, le contexte pandémique et la généralisation du télétravail ont rendu de nombreuses organisations vulnérables aux cyberattaques. La plupart des SI n’étaient pas prêts à ce pivot, trop peu sécurisés, remplis de failles exploitables par des attaquants. Les nombreuses migrations vers le cloud n’ont souvent pas été accompagnées correctement, la nécessaire révision des stratégies de cyberdéfense ayant souvent été le parent pauvre de ces initiatives.
Ensuite, l’écosystème cyber criminel est plus mature. Les pirates informatiques s’organisent et exploitent de mieux en mieux les failles existantes. Des « métiers » très précis sont définis et des fournisseurs offrent leurs services illégaux à grande échelle. Les hackers isolés deviennent des groupes organisés, capables de frapper conjointement une même cible.
Dans ce contexte très favorable à la cybercriminalité, les ransomwares représentent toujours en 2021 une forte part des attaques avérées et sont fortement médiatisées. Cependant, les organisations doivent regarder au-delà : les attaques ont une nature de plus en plus belliqueuse et ne sont plus seulement motivées par le gain financier.
L’appât du gain et le désormais classique « ransomware »
L’année 2020 a été marquée par l’explosion des attaques de type ransomware (+255% en 20202). Le ranwsomware, ou rançongiciel, s’introduit dans le SI de sa cible le plus souvent via les employés, piégés par du Phishing3. L’objectif de l’attaquant est de bloquer les données, machines ou outils de production de sa victime pour récupérer une rançon en échange du mot de passe de déchiffrement. Pour renforcer leur efficacité, les pirates ont souvent recours à du Social Engineering4, étape durant laquelle ils analysent leur cible et identifient les leviers d’action les plus efficaces.
Les attaques ransomware, par leur ampleur, ont été mises sur le devant de la scène et engendrent de lourdes pertes financières. Cependant, la guerre en Ukraine nous laisse penser que le nombre d’attaques belliqueuses va croître dans les prochaines années. Souvent menées par des groupes étatiques, elles servent des fins qui vont au-delà du simple enrichissement.
L’espionnage, première finalité poursuivie par les pirates en France
Le ransomware a certes la part belle… Mais en 2021, sur les 17 opérations de cyberdéfense traitées par l’ANSSI, 14 étaient liées à des opérations d’espionnage informatique. Dernièrement, la France a été ciblée par plusieurs campagne d’espionnage utilisant des modes opératoires connus. 2021 a été marqué par de nombreuses attaques utilisant des stratégies spécifiques à des groupes chinois, notamment APT315, notoirement lié à l’Etat chinois.
L’objectif des attaquants est de récolter un maximum de données. Une fois dans le SI de leur cible, les cyber criminels peuvent rester discrets pendant un long moment et profiter de cette période pour faire du Social Engineering.
Le sabotage d’infrastructures critiques : une menace constante
Surtout menés par des acteurs étatiques, le sabotage d’entreprises stratégiques a pour but de déstabiliser un pays, une entreprise ou un secteur d’activité et s’inscrit dans un contexte de cyber-guerre.
Il y a sabotage informatique lorsque des attaquants introduisent, modifient ou effacent des données dans un système. En visant des infrastructures critiques, les pirates peuvent engendrer des conséquences bien plus lourdes que de simples pertes financières.
Un des exemples les plus récents date du 24 Février 2022, jour où la Russie entrait en Ukraine. Une attaque a été lancée contre un satellite du réseau américain Viasat qui fournissait un accès internet à des dizaines de milliers d’Européens mais surtout au gouvernement ukrainien et à ses forces militaires. Cette attaque a vraisemblablement été orchestrée par un groupe de cybercriminels russes.
Les attaques internes, quand les menaces viennent de l’intérieur
En 2015, 60% des attaques subies par les entreprises étaient d’origine interne6. La tendance est à protéger son SI des intrusions pourtant les entreprises sont souvent frappées de l’intérieur. Une personne « de confiance » mais malintentionnée peut facilement récupérer, corrompre, introduire ou détruire des données. 10% de ces attaques restent cependant d’origine accidentelle.
Toutes les organisations du monde sont des cibles potentielles indépendamment de leur implantation géographique, secteur d’activité ou renommée. Leur niveau de maturité en Cybersécurité doit rattraper celui du cybercrime organisé, dont le prisme dépasse désormais le cadre des attaques de « droit commun » et des ransomwares. Or, aujourd’hui, beaucoup d’organisations ne sont pas prêtes à se défendre car elles souffrent souvent du « syndrome du lampadaire »7… et ont tendance à se focaliser sur ce qu’elles connaissent sans essayer d’ouvrir leur champ d’analyse. Les stratégies de Cyberdéfense doivent couvrir à la fois les actifs informationnels et les actifs physiques car un hacker peut prendre le contrôle de tout actif dès lors qu’il est régi par un système informatique.
Pour limiter le risque des solutions existent. La première d’entre elles est de mener des analyses de risques sur tous les actifs de l’organisation. Cela leur permet de maîtriser l’exposition à proportion de la sensibilité détectée et d’adapter les mesures de sécurité.
Par Robin Pichon - Consultant, et Nicolas Chaine - Partner chez julhiet sterwen
1 Source : ANSSI, sur la base des intrusions qui lui ont été signalées.
2 Source : sur la base des intrusions qui lui ont été signalées
3 Phishing : hameçonnage
4 Social Engineering : Ingénierie Sociale
5 Nom donné à partir de l’acronyme « APT »: Advanced Persistent Threat, cyberattaque de longue durée et ciblée au cours de laquelle un intrus accède à un réseau et reste indétecté pendant une période prolongée.
6 Source : Etude IBM
7 Syndrome du lampadaire : Propension à ne voir que ce qu'on nous montre, nous désigne