Des cybermenaces toujours très présentes en 2022

L’Agence nationale de la sécurité des systèmes d’information (Anssi) a publié le 24 janvier son rapport annuel sur les cybermenaces en 2022. L’agence y détaille notamment les nouveaux modes d’action des attaquants, même si les rançongiciels restent en tête des attaques menées. L’Anssi confirme également que tous les secteurs sont concernés.

Avec 831 intrusions avérées, contre 1082 en 2021, l’année 2022 est restée à un haut niveau d’alerte en matière de cybersécurité. Ce léger recul, explique le rapport “Panorama de la cybermenace 2022” de l’Anssi, ne doit cependant pas être interprété comme une baisse du niveau de la menace. Il témoigne plutôt d’un changement de nature de la cybermalveillance, qui se déporte sur des entités moins bien protégées. Ainsi, explique l’Anssi, “les acteurs malveillants tentent de compromettre des équipements périphériques qui leur offrent un accès plus furtif et persistant aux réseaux victimes. Ce ciblage périphérique se transpose également dans le type d’entités attaquées et confirme l’intérêt des attaquants pour les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l’écosystème plus large de leurs cibles finales”.

Les rançongiciels toujours en tête

En 2022, les attaques poursuivant un objectif de gain financier demeurent les plus courantes. Si une baisse de l’activité des rançongiciels a été observée au premier semestre 2022, une multiplication des cas d’attaques par rançongiciels est observée depuis l’été 2022, particulièrement à l’encontre des collectivités territoriales et des établissements de santé avec des impacts conséquents. 

Rapport « Panorama de la cybermenace 2022 » – Anssi – Janvier 2023

Comme en 2021, les principales victimes françaises d’attaques par rançongiciels observées par l’agence en 2022 demeurent les TPE, PME, et ETI, suivies des collectivités territoriales et des établissements publics de santé. Ces derniers sont ceux pour lesquels les impacts sont les plus lourds.

L’Anssi rappelle que, dans un secteur critique comme la santé, ce type d’événement peut avoir, outre des conséquences financières, un impact sur le suivi des patients et la confidentialité de leurs données de santé. Le cas de la cyberattaque du Centre Hospitalier Sud Francilien, en août dernier, est à ce titre représentatif de cette forme de menace. “L’indisponibilité d’une partie des données et des applications portées par le système d’information avaient, rappelle l’Anssi, contraint les services hospitaliers à fonctionner en mode dégradé”. En outre, une partie des données exfiltrées (représentant un volume de 11 gigaoctets) avait été publiée sur le darknet quelques semaines plus tard. En décembre dernier, c’était au tour du Centre Hospitalier de Versailles de subir le même type d’attaque. Si l’action coordonnée de l’Anssi et des équipes techniques de l’hôpital a permis de redémarrer les services critiques, “la reconstruction sécurisée du système d’information ainsi que le retour à un fonctionnement nominal nécessiteront un travail de long terme”, note l’agence.  

Les nouvelles méthodes d’attaque

En même temps que la cybersécurité des établissements de santé se renforce, les attaquants sont à la recherche d’une furtivité toujours plus grande, qui passe aujourd’hui par la compromission d’équipements périphériques, tels que des pare-feux ou des routeurs. Ces équipements, explique l’Anssi, offrent des avantages multiples : ils sont connectés en permanence, généralement peu supervisés par les outils grand public et professionnels, ils fournissent aussi aux attaquants un accès discret et persistant aux réseaux de leurs victimes. 

Les campagnes d’hameçonnage ont changé de thématique : celle des impôts est progressivement remplacée par celle de la santé

Mais l’activité cybercriminelle ne se restreint pas aux rançongiciels, note l’agence. D’autres types d’activités tels que la revente de données personnelles ou bancaires et des arnaques plus classiques se sont maintenus. Les campagnes d’hameçonnage ont cependant changé de thématique : celle des impôts est progressivement remplacée par celle de la santé, en usurpant notamment l’identité de l’Assurance maladie. “Les attaquants cherchent ainsi à exploiter le contexte sanitaire et l’actualité liée à la création de Mon espace santé” relève l’Anssi.

Rapport « Panorama de la cybermenace 2022 » – Anssi – Janvier 2023

Cette dernière rappelle également que de nombreux incidents observés au cours de l’année 2022 ont pour origine l’exploitation de vulnérabilités sur certains logiciels. À ce titre, notons que l’agence émet des alertes et tient à jour une liste des solutions les plus critiques sur le site CERT-FR (et sur le site du CERT-SANTÉ pour les établissements du secteur).

La résistance s’organise

En dépit du conflit russo-ukrainien, note l’Anssi en conclusion de son rapport, la menace cybercriminelle, et plus spécifiquement celle liée aux rançongiciels, se maintient en 2022 à un niveau semblable à 2021. Afin de déjouer les menaces les plus courantes, l’Anssi recommande l’application rigoureuse d’une politique de mises à jour et recommande la consultation de son “Guide d’hygiène informatique”. À noter que la nouvelle directive Network and Information System Security (NIS 2) qui a été adoptée par le Parlement européen en novembre dernier  va introduire des obligations en matière de cybersécurité pour de nouveaux acteurs comme les fournisseurs de services numériques ou les fabricants de produits chimiques et pharmaceutiques. Aussi, la responsabilité des établissements de santé pourra, par cette nouvelle directive, être engagée, avec des amendes à la clé. NIS2 doit être  transposée en droit français d’ici septembre 2024, nous apprend l’Anssi, qui se félicite que cette directive européenne permette de renforcer son pouvoir de supervision.

Découvrez sur mind Health les analyses et retours d’expériences d’hôpitaux victimes de cyberattaques