Dans son dernier rapport , l’Agence nationale de la sécurité des systèmes d’information (ANSSI) constate que la cyber menace reste élevée et qu’elle se déporte sur des entités moins bien protégées.
2023, année de tous les dangers pour les cybermenaces ? «Alors que la France se prépare à accueillir des événements majeurs tels que la Coupe du monde de rugby en 2023 et les Jeux olympiques et paralympiques de Paris en 2024, nous devons renforcer la vigilance et la responsabilité de chacun, pour faire face tous ensemble à cette menace cyber», a récemment déclaré Vincent Strubel, directeur général de l’ANSSI, l’Agence nationale de la sécurité des systèmes d’information qui vient tout juste de publier son Panorama de la cyber menace 2022.
L’an dernier après une accalmie lors du premier semestre, la menace cybercriminelle et plus spécifiquement celle liée aux rançongiciels s’est maintenue avec un regain d’activités fin 2022 touchant particulièrement les TPE, PME et ETI (40 % des rançongiciels traités ou rapportés à l’ANSSI en 2022), suivies par les collectivités territoriales (23 %) et les établissements publics de santé (10 %). Personne n’est épargné. Une étude de PrestaShop menée en septembre 2022 auprès de 115 commerçants de son Million Club (fédérant les marchands qui gèrent leur activité e-commerce sous PrestaShop et réalisent plus d’un million de GMV ou gross merchandise value par an) en France, Espagne, Italie, Pologne et Amérique latine, a indiqué que près d’un marchand sur deux dans le monde a déjà été victime d’une cyberattaque. Les e-commerçants français seraient cependant légèrement moins touchés puisqu’ils sont 41% à indiquer en avoir été victimes depuis le lancement de leur site.
Les attaques sont diverses mais viennent principalement de bots malveillants (43%), d’attaques DDoS ou « par déni de service distribué » (33%), et d’injections SQL ou attaque sur une application web qui permet à un attaquant d’insérer des instructions SQL malveillantes (30%). Ces attaques ont comme principale conséquence l’indisponibilité des services pour 67% des sondés dans le monde et 60% des Français. Fin septembre, le site de la marque de mode masculine Jules qui fait partie des victimes aura ainsi mis plusieurs mois à redémarrer, obligeant les équipes à revenir à des techniques manuelles pour gérer les stocks.
L’étude de Prestashop révèle toutefois que, tous pays confondus, peu de e-commercants de son club ont subi des vols de données (14%) ou des détournements de clientèle (10%), que les attaques sont généralement rapidement résolues et que de nombreux marchands dans le monde ont mis en place plusieurs mesures pour en diminuer l’impact. En termes de suite donnée aux cyberattaques, seuls 3% des marchands dans le monde auraient par ailleurs payé une rançon (l’ANSSI le déconseille fortement) et ils sont 10% à avoir porté plainte.
Des attaquants moins visibles
Selon l’Agence nationale de la sécurité des systèmes d’information, la menace liée aux rançongiciels ne doit pas éluder les autres types d’activités cybercriminelles comme le cryptominage. « Plus furtif qu’auparavant, il permet de générer des fonds importants qui peuvent être réinvestis par les acteurs malveillants pour acquérir de nouvelles capacités ». Les méthodes des attaquants se font par ailleurs moins visibles. Ils cherchent désormais à obtenir des accès discrets et pérennes aux réseaux de leurs victimes. Ils tentent de compromettre des équipements périphériques (pare-feu ou routeurs). «Ces équipements connectés en permanence, généralement peu supervisés par les outils grand public et professionnels, fournissent aux attaquants un accès discret et persistant aux réseaux de leurs victimes». Ce ciblage périphérique se retrouve également dans le type d’entités compromises et confirme l’intérêt des attaquants pour les prestataires, les fournisseurs, les sous-traitants, les organismes de tutelle et l’écosystème plus large de leurs cibles.
«Les usages numériques non maîtrisés et les faiblesses dans la sécurisation des données continuent d’offrir de trop nombreuses opportunités aux attaquants. Le recours au Cloud et l’externalisation de services auprès d’entreprises de services numériques, lorsqu’ils ne s’accompagnent pas de clauses de cybersécurité adaptées, représentent une menace importante», poursuit l’Agence.
En dépit d’une baisse du nombre d’attaques ciblant la chaine d’approvisionnement ou supply chain en 2022, cette tendance «reste d’actualité et souligne un risque systémique». Enfin, l’ANSSI déplore que de nombreuses organisations n’appliquent pas à temps les correctifs sur les vulnérabilités découvertes, ce qui laisse le champ libre aux attaquants pour les exploiter.
De nouvelles exigences de sécurité
Face à ces menaces, les organisations privées comme publiques «doivent prendre en compte le risque cyber au juste niveau et adopter les bonnes mesures pour se protéger», ajoute l’organisation qui livre des recommandations sur son site. La nouvelle directive « Network and information system security » (NIS 2) qui sera transposée en droit français au deuxième semestre 2024, devrait permette de «renforcer le pouvoir de supervision de l’agence en élargissant son champ d’actions à un plus grand nombre de secteurs économiques et d’acteurs publics et privés». Cette directive, qui prend en compte la problématique de la numérisation de la supply chain, devrait également permettre «d’imposer des exigences de sécurité plus importantes aux entreprises concernées, d’induire une augmentation du niveau de maturité des organisations et ainsi de participer à réduire les risques d’attaques indirectes».
A l’échelle nationale, NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Environ 600 types d’entités différentes seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. En plus des obligations en termes de gestion des risques, de reporting sur les incidents et divulgation des vulnérabilités, la directive NIS 2 élargit les pouvoirs de contrôle par les autorités nationales et renforce les sanctions en cas de non-respect des obligations. L’amende pourra représenter jusqu’à 2 % du chiffre d’affaires mondial de l’entreprise et la responsabilité des dirigeants pourra être engagée. L’obligation de signaler tout incident de sécurité est également renforcée. Les entités affectées disposeront d’un délai de 24 heures pour signaler un incident à compter du moment où il est identifié, et devront fournir un rapport dans un délai maximum d’un mois suivant cette notification initiale.
Je souhaite lire les prochains articles des Clés du Digital, JE M’INSCRIS A LA NEWSLETTER
Laisser un commentaire