---
timestamp: "00:00:02"
marker: "!"
title: "Introduction et présentation du panorama des cybermenaces"
quote: "Aujourd'hui je viens pour vous parler du panorama de la menace qui est un document qu'on fait depuis 2021 pour essayer de donner notre vision de la menace de l'année qui vient de s'écouler."
details:
Mathieu Feuillet, sous-directeur opérationnel de l'ANSSI et chef du CERT-FR, présente le rapport annuel sur les cybermenaces. Ce document analyse les incidents traités en 2023 sans faire de prédictions, mais en offrant une synthèse des attaques observées. L'ANSSI utilise deux sources principales : l'analyse de la menace via diverses sources (ouvertes, commerciales) et l'examen des incidents concrets traités par leurs équipes. Le rapport suit une structure établie depuis 2021, examinant les intentions des acteurs malveillants, l'évolution de leurs capacités offensives et les opportunités qu'ils exploitent (vulnérabilités non corrigées notamment). Ce travail vise à aider les RSSI et équipes de sécurité à mieux se protéger.
---
---
timestamp: "00:01:51"
marker: "!"
title: "Méthodologie et sources de données"
quote: "On a deux sources principales d'information : des équipes qui font de l'analyse de la menace et des équipes qui analysent les incidents qu'on a traités nous-mêmes."
details:
L'ANSSI précise que ses données proviennent uniquement des incidents signalés volontairement, que ce soit sur base réglementaire ou non. Les signalements via Cybermalveillance ne sont pas inclus automatiquement. Le rapport combine donc analyse proactive des tendances mondiales et retour d'expérience des incidents traités. Cette approche permet d'identifier les vulnérabilités les plus exploitées et les techniques d'attaque récurrentes, offrant ainsi des indications précieuses pour renforcer la sécurité des organisations.
---
---
timestamp: "00:03:17"
marker: "!"
title: "Évolution des intentions des acteurs malveillants"
quote: "La première menace qui nous occupe le plus c'est l'espionnage, même si c'est celle dont on parle pas forcément le plus."
details:
Les principales menaces observées en 2023 proviennent des mêmes acteurs que les années précédentes : Chine, Russie et cybercriminalité. L'espionnage reste la préoccupation majeure, bien que moins médiatisé que les rançongiciels. Une tendance marquante est la compromission croissante des intermédiaires (sous-traitants, opérateurs télécoms). Autre phénomène notable : le ciblage des équipements personnels, notamment les téléphones de personnalités. L'ANSSI observe également des cas de polycompromission (plusieurs attaquants simultanés) et de recompromission (même attaquant revenant plusieurs fois). Ces schémas complexes montrent l'adaptabilité des cybercriminels.
---
---
timestamp: "00:06:48"
marker: "!"
title: "Communication sur les incidents d'espionnage"
quote: "Le RGPD a eu comme conséquence que les gens communiquent plus sur les opérations d'espionnage."
details:
De plus en plus d'entreprises communiquent sur les incidents d'espionnage, contrairement aux années passées. Deux facteurs expliquent cela : une meilleure compréhension de l'importance d'une communication maîtrisée et les obligations du RGPD concernant la notification des violations de données personnelles. L'ANSSI recommande de multiplier les canaux de communication officiels en cas d'incident et de sécuriser ces canaux (authentification à deux facteurs). Un exemple frappant : certaines entreprises ont dû envoyer des notifications RGPD avant toute communication publique, créant de la confusion chez les destinataires qui soupçonnaient du phishing.
---
---
timestamp: "00:11:27"
marker: "!"
title: "Opportunités exploitées par les attaquants"
quote: "Le numéro 1 ça reste la vulnérabilité non patchée qu'on retrouve dans beaucoup d'incidents."
details:
Les vulnérabilités connues mais non corrigées constituent la principale porte d'entrée des attaquants. L'exemple de la campagne massive exploitant la vulnérabilité Ivanti en 2024 illustre ce phénomène. L'ANSSI souligne l'importance d'une défense complète combinant supervision, capacité de réaction et correction rapide des vulnérabilités. Les entreprises matures détectent et traitent souvent ces incidents rapidement, limitant ainsi l'impact. Le rapport insiste sur l'impossibilité d'anticiper toutes les vulnérabilités zero-day, mais souligne qu'une réaction rapide peut transformer un incident majeur en problème mineur.
---
---
timestamp: "00:19:47"
marker: "!"
title: "Amélioration des capacités offensives"
quote: "Les attaquants utilisent de plus en plus des techniques 'living off the land' en exploitant les outils légitimes du système."
details:
Les cybercriminels affinent leurs techniques, notamment en ciblant les équipements périphériques (pare-feu, passerelles de messagerie) souvent moins bien supervisés. Une tendance inquiétante : l'utilisation de capacités SIGINT (renseignement d'origine électromagnétique) pour intercepter des protocoles non chiffrés. Les techniques "living off the land" (utilisation d'outils système légitimes) compliquent la détection, nécessitant une analyse comportementale poussée. Les attaquants désactivent souvent les solutions EDR/antivirus après avoir pris le contrôle de l'Active Directory, montrant l'importance de superviser ces outils de sécurité eux-mêmes.
---
---