Parmi les grandes tendances ayant marqué le paysage cyber en 2022 (cf. “Panorama de la menace informatique”, ANSSI, mars 2022), l’Agence nationale de la sécurité des systèmes d’information (ANSSI) a constaté une amélioration constante des capacités des acteurs malveillants, soit une professionnalisation, qui percute la généralisation des usages numériques souvent mal maîtrisés.
La crise sanitaire a accru la surface d’attaque
Cette généralisation des usages numériques couplée à une absence de maîtrise résulte des impératifs liés à la crise sanitaire, c’est-à-dire le déploiement en urgence par les entreprises de solutions permettant de poursuivre l’activité face aux confinements et au développement du travail en distanciel. Or, les nouveaux usages numériques comme le Cloud sont exploités par les cyberattaquants. La crise sanitaire ayant accéléré son usage dans les secteurs public et privé, cela augmente mécaniquement le niveau de menace et la surface d’attaque car les défauts de sécurisation des données sont encore trop nombreux.
À cela s’ajoute l’exposition au risque de cyberattaque accrue du fait de la situation géopolitique Ukraine/Russie, même si celle-ci ne s’est pas encore matérialisée.
Professionnalisation et diversification des menaces informatiques
- Le nombre d’intrusions avérées dans des systèmes d’information signalées à l’ANSSI a augmenté de 37 % entre 2020 et 2021 : 786 en 2020 contre 1082 en 2021, soit désormais près de 3 intrusions avérées par jour.
- En 2021, les TPE, PME et ETI ont représenté 34 % des victimes touchées par les rançongiciels, c’est-à-dire les attaques à finalité lucrative (+53 % par rapport à 2020). Ces attaques se sont stabilisées en 2021 mais restent à un niveau très élevé.
Outre les gains financiers, les cyberattaques, nombreuses donc, poursuivent des finalités diverses : espionnage, déstabilisation, sabotage. Ces menaces ne doivent pas être négligées par les entreprises dans le cadre de tensions géopolitiques exacerbées :
- les opérations d’espionnage informatique, qui restent la principale finalité poursuivie par les attaquants réputés étatiques et constituent l’essentiel de l’activité traitée dans le cadre des opérations de cyberdéfense conduites par l’ANSSI. Une menace qui concerne autant les acteurs institutionnels que les acteurs privés ;
- les ciblages d’infrastructures par des acteurs de niveau étatique ;
- les actions de déstabilisation : elles débutent par des compromissions informatiques permettant d’exfiltrer des documents qui peuvent être divulgués, voire modifiés pour déstabiliser une organisation, une personnalité exposée ou encore un État.
Dans un contexte fait de professionnalisation, d’augmentation et de diversification des cyberattaques, les entreprises, quelles que soient leur taille et leur importance stratégique, doivent adopter cinq réflexes pour limiter leur exposition au risque de menaces informatiques.
Cinq mesures pour limiter le risque et/ou maintenir son activité
- Renforcer l’authentification sur les systèmes d’information, notamment ceux des administrateurs qui ont accès à l’ensemble des ressources critiques du système d’information et ceux des personnes exposées de l’entité (personnel de direction, cadres dirigeants, etc.). Par exemple, mettre en œuvre une authentification forte nécessitant l’utilisation de deux facteurs d’authentification différents : un mot de passe (ou un tracé de déverrouillage ou une signature) et un support matériel (carte à puce, jeton USB, carte magnétique, RFID) ou a minima un autre code reçu par un autre canal (SMS).
- Accroître la supervision de sécurité afin de détecter une éventuelle compromission et favoriser une réponse rapide et efficace. L’ANSSI donne quelques conseils en cas d’absence de supervision de sécurité dont la centralisation des journaux des points les plus sensibles du système d’information est conseillée.
- Sauvegarder régulièrement hors-ligne les données et les applications critiques, y compris celles présentes sur les serveurs de fichiers. Objectif : les déconnecter du système d’information pour prévenir leur chiffrement, les protéger d’une infection des systèmes et conserver les données critiques à la reprise d’activité.
- Établir une liste priorisée des services numériques critiques de l’entité pour prioriser les actions de sécurisation et donc réagir efficacement en cas d’incident mais aussi pour mesurer sa dépendance.
- S’assurer de l’existence d’un dispositif de gestion de crise adapté à une cyberattaque, laquelle peut contraindre à passer en fonctionnement dégradé (plus d’applications ou logiciels, plus de messagerie, voire plus de téléphonie…). Il faut un plan de réponse en deux temps (gestion de crise et reprise d’activité) afin d’assurer la continuité d’activité mais aussi des mesures de bon sens comme, par exemple : prévoir un recensement des points de contact d’urgence, dont les prestataires de services numériques … en version papier.