En 2023, le paysage de la cybermenace a continué d’évoluer de par le nombre d’attaques recensées, mais aussi le profil des victimes et attaquants., comme le révèle l’Agence nationale de la sécurité des systèmes d’information (ANSSI).
Ce document met en lumière les principales tendances et menaces qui ont marqué l’année, avec une attention particulière aux techniques et aux motivations variées des cybercriminels.
Le contexte géopolitique mondial a augmenté le nombre de cyberattaques contre des entités françaises. L’ANSSI confirme encore cette année que les principales menaces contre les SI français viennent d’attaquants réputés liés à la Chine, à la Russie, ainsi qu’à l’écosystème cybercriminel.
Le rapport met aussi en avant l’évolution de la répartition des victimes de ces diverses attaques.
En 2023, les entreprises dites « stratégiques » ont subi bien plus d’attaques l’an passé, tous comme les associations. Pour autant, la répartition montre bien qu’encore aujourd’hui, plus de la moitié des victimes sont des collectivités territoriales/locales, ou des TPE/PME/ETI.
De janvier 2022 à juin 2023, l’ANSSI a déclaré avoir traités 187 incidents cyber affectant les collectivités territoriales (communes, départements, régions, EPCI..). Ces incidents représentent 17% de l’ensemble des incidents traités par l’organisme sur la période. Un chiffre alarmant et en constante augmentation.
Diversification des profils cybercriminels
L’une des autres tendances notables en 2023 est la diversification des profils cybercriminels.
La fuite de générateurs et de codes sources de rançongiciels tels que LockBit, Babuk et Conti en 2021 et 2022 a permis l’émergence de groupes moins expérimentés, capables de générer et de déployer leurs propres rançongiciels.
Cette dynamique se retrouve dans les chiffres, puisqu’après une diminution en 2022, le nombre d’attaques de types rançongiciel a augmenté de 30% en 2023.
Depuis 2021, une tendance au rançonnage reposant uniquement sur l’exfiltration de données sans déploiement de rançongiciel s’est confirmée. En 2023, cette méthode a été utilisée dans des campagnes massives, créant des défis importants pour la gestion des grandes quantités de données exfiltrées.
De plus, la diffusion d’outils de vol d’informations (infostealers) sur des forums et au sein de groupes privés, a facilité l’acquisition d’accès initiaux par des cybercriminels aux compétences techniques limitée.
Les cybercriminels ont distribué les données sur plusieurs machines via des protocoles de transfert de données pair à pair (P2P) comme BitTorrent, ou en obligeant les victimes à entrer en contact direct avec eux pour les récupérer.
A présent, les attaquants cherchent aussi à profiter des intermédiaires afin de les compromettre en ciblant prestataires ou sous-traitants des organisations.
Afin de réussir, ils s’appuient sur de nombreuses faiblesses techniques et humaines. L’ANSSI relève ainsi les mauvaises pratiques d’administration ou de gestion des droits, des erreurs de configuration, de l’hameçonnage etc… La liste est malheureusement longue.
Un guide de bonne hygiène informatique par l’ANSSI est disponible en ligne, vous pouvez le retrouver à cette adresse.
Attaques ciblées et vulnérabilités critiques
2023 a été marquée par plusieurs attaques significatives, dont le ciblage de l’hebdomadaire Charlie Hebdo.
En janvier 2023, une attaque revendiquée par un acteur malveillant se présentant sous l’avatar « Holy Souls » a conduit à la défiguration de la boutique en ligne du journal et à l’exfiltration des données de 230 000 clients.
Selon les autorités américaines, cet acteur serait lié à des actions d’influence et d’ingérence au service du Corps des Gardiens de la Révolution islamique iranien.
Le rapport souligne également l’exploitation de vulnérabilités zero-day/day-one par d’autres groupes cybercriminels matures.
Par exemple, le groupe CL0P a illustré sa capacité à mener des attaques à grande échelle en ciblant des logiciels d’entreprises hébergeant des données sensibles, exploitant des vulnérabilités dans des solutions telles que GoAnywhere MFT, Papercut et MoveIT.
Découvrez la liste des vulnérabilités critiques les plus importantes rendues publiques en 2023.
Dans cette liste, la vulnérabilité CVE-2021-21974 affectant VMware ESXi a été particulièrement exploitée, avec des campagnes de rançongiciel ciblant les hyperviseurs, malgré la disponibilité de correctifs depuis 2021.
En France, le CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) publie régulièrement des alertes de sécurité assorties de recommandations. Elles sont disponibles à cette adresse.
Conclusion et recommandations
Le panorama de la cybermenace en 2023 dressé par l’ANSSI montre une augmentation de la sophistication et de la diversité des attaques cybercriminelles.
Ce bilan alarmant souligne l’importance d’une réponse coordonnée et proactive pour contrer les cybermenaces et protéger les infrastructures critiques et les données sensibles.
Les organisations doivent rester vigilantes et renforcer leurs mesures de sécurité pour se protéger contre ces menaces en constante évolution.
Une excellente politique d’hygiène informatique et une formation du personnel sont obligatoires afin de minimiser les cybermenaces.
ORNISEC, qualifié PASSI par l’ANSSI, peut vous accompagner dans vos démarches de cybersécurité. N’hésitez pas à nous contacter directement afin d’échanger avec nos experts. Ils seront heureux de répondre à vos questions et à aborder vos problématiques.