NoLimitSecu #452 - Panorama de la Cybermenace 2023
Panorama des cybermenaces en 2023 selon l'ANSSI
Introduction et présentation du panorama des cybermenaces
Aujourd'hui je viens pour vous parler du panorama de la menace qui est un document qu'on fait depuis 2021 pour essayer de donner notre vision de la menace de l'année qui vient de s'écouler.
- Mathieu Feuillet, sous-directeur opérationnel de l'ANSSI et chef du CERT-FR, présente le rapport annuel sur les cybermenaces. Ce document analyse les incidents traités en 2023 sans faire de prédictions, mais en offrant une synthèse des attaques observées. L'ANSSI utilise deux sources principales : l'analyse de la menace via diverses sources (ouvertes, commerciales) et l'examen des incidents concrets traités par leurs équipes. Le rapport suit une structure établie depuis 2021, examinant les intentions des acteurs malveillants, l'évolution de leurs capacités offensives et les opportunités qu'ils exploitent (vulnérabilités non corrigées notamment). Ce travail vise à aider les RSSI et équipes de sécurité à mieux se protéger.
Méthodologie et sources de données
On a deux sources principales d'information : des équipes qui font de l'analyse de la menace et des équipes qui analysent les incidents qu'on a traités nous-mêmes.
- L'ANSSI précise que ses données proviennent uniquement des incidents signalés volontairement, que ce soit sur base réglementaire ou non. Les signalements via Cybermalveillance ne sont pas inclus automatiquement. Le rapport combine donc analyse proactive des tendances mondiales et retour d'expérience des incidents traités. Cette approche permet d'identifier les vulnérabilités les plus exploitées et les techniques d'attaque récurrentes, offrant ainsi des indications précieuses pour renforcer la sécurité des organisations.
Évolution des intentions des acteurs malveillants
La première menace qui nous occupe le plus c'est l'espionnage, même si c'est celle dont on parle pas forcément le plus.
- Les principales menaces observées en 2023 proviennent des mêmes acteurs que les années précédentes : Chine, Russie et cybercriminalité. L'espionnage reste la préoccupation majeure, bien que moins médiatisé que les rançongiciels. Une tendance marquante est la compromission croissante des intermédiaires (sous-traitants, opérateurs télécoms). Autre phénomène notable : le ciblage des équipements personnels, notamment les téléphones de personnalités. L'ANSSI observe également des cas de polycompromission (plusieurs attaquants simultanés) et de recompromission (même attaquant revenant plusieurs fois). Ces schémas complexes montrent l'adaptabilité des cybercriminels.
Communication sur les incidents d'espionnage
Le RGPD a eu comme conséquence que les gens communiquent plus sur les opérations d'espionnage.
- De plus en plus d'entreprises communiquent sur les incidents d'espionnage, contrairement aux années passées. Deux facteurs expliquent cela : une meilleure compréhension de l'importance d'une communication maîtrisée et les obligations du RGPD concernant la notification des violations de données personnelles. L'ANSSI recommande de multiplier les canaux de communication officiels en cas d'incident et de sécuriser ces canaux (authentification à deux facteurs). Un exemple frappant : certaines entreprises ont dû envoyer des notifications RGPD avant toute communication publique, créant de la confusion chez les destinataires qui soupçonnaient du phishing.
Opportunités exploitées par les attaquants
Le numéro 1 ça reste la vulnérabilité non patchée qu'on retrouve dans beaucoup d'incidents.
- Les vulnérabilités connues mais non corrigées constituent la principale porte d'entrée des attaquants. L'exemple de la campagne massive exploitant la vulnérabilité Ivanti en 2024 illustre ce phénomène. L'ANSSI souligne l'importance d'une défense complète combinant supervision, capacité de réaction et correction rapide des vulnérabilités. Les entreprises matures détectent et traitent souvent ces incidents rapidement, limitant ainsi l'impact. Le rapport insiste sur l'impossibilité d'anticiper toutes les vulnérabilités zero-day, mais souligne qu'une réaction rapide peut transformer un incident majeur en problème mineur.
Amélioration des capacités offensives
Les attaquants utilisent de plus en plus des techniques 'living off the land' en exploitant les outils légitimes du système.
- Les cybercriminels affinent leurs techniques, notamment en ciblant les équipements périphériques (pare-feu, passerelles de messagerie) souvent moins bien supervisés. Une tendance inquiétante : l'utilisation de capacités SIGINT (renseignement d'origine électromagnétique) pour intercepter des protocoles non chiffrés. Les techniques "living off the land" (utilisation d'outils système légitimes) compliquent la détection, nécessitant une analyse comportementale poussée. Les attaquants désactivent souvent les solutions EDR/antivirus après avoir pris le contrôle de l'Active Directory, montrant l'importance de superviser ces outils de sécurité eux-mêmes.
Préparation aux Jeux Olympiques 2024
On se prépare sur tout ce qui est incidents de sabotage qui voudraient porter atteinte au fonctionnement des épreuves ou à l'image de la France.
- L'ANSSI déploie un important dispositif pour les JO 2024, s'appuyant sur l'expérience de la Coupe du Monde de Rugby 2023. Les mesures incluent l'accompagnement des acteurs pour rehausser leur sécurité, la mise en place d'une organisation de gestion de crise et des entraînements réguliers. Les risques identifiés couvrent l'activisme, les fraudes, les rançongiciels ciblant les délais serrés des JO, et les sabotages visant à nuire à l'image de la France. Tous les acteurs concernés semblent prendre très au sérieux ces enjeux cyber, marquant une évolution positive par rapport aux années précédentes.
Coordination entre services de l'État
Chacun a son mandat : Viginum sur la manipulation de l'information, Cybermalveillance pour le grand public, nous à l'ANSSI sur la cyberdéfense.
- La France dispose d'un écosystème cyber bien structuré : Viginum (manipulation de l'information), Cybermalveillance (aide au grand public), CERT régionaux et sectoriels (santé notamment), et le C4 tcops pour la coordination des crises majeures. L'ANSSI reçoit les signalements d'incidents via divers canaux : 23% détectés en interne, 21% via sources ouvertes, 18% par des partenaires nationaux, et seulement 10% directement par les victimes. Cette organisation permet une couverture complète des cybermenaces tout en respectant les prérogatives de chaque entité.
Perspective sur l'intelligence artificielle
L'IA va améliorer les attaques comme les défenses, mais la sécurité des systèmes d'IA eux-mêmes pose des questions majeures.
- L'ANSSI identifie trois axes concernant l'IA : son utilisation par les attaquants (meilleurs phishing), son potentiel pour la recherche de vulnérabilités (avantageant plutôt les défenseurs), et les risques spécifiques aux systèmes d'IA (empoisonnement, fuites de données). Les attaques par la chaîne d'approvisionnement (supply chain) des IA émergent comme une menace sérieuse, nécessitant des contrôles rigoureux des environnements d'apprentissage. Bien que ces risques soient encore limités aujourd'hui, ils préfigurent des défis majeurs pour la sécurité future.
🎬 Voir la vidéo source :
NoLimitSecu #452 - Panorama de la Cybermenace 2023 ↗
Ce résumé a été généré par Clipsy en 2 minutes.
Résumé complet, gratuit et sans compte.