- 243 -
d’efficacité pour peu que l’on dispose des bonnes données et informations,
qui sont devenues une ressource critique, au cœur du fonctionnement
politique, économique et social des sociétés modernes.
B. LES ÉVOLUTIONS RÉCENTES FONT APPARAÎTRE DE NOUVELLES
TENDANCES
La première est l'accessibilité des outils d'attaque, en raison de leur
prolifération sur Internet (darkweb), ce qui abaisse le coût de l'investissement
de départ et rend, de fait, le nombre d'attaquants toujours plus important.
La deuxième est que les attaquants les plus expérimentés 1,
notamment ceux qui sont sponsorisés directement ou indirectement par les
États, ont compris que, si les grandes organisations se sécurisaient de mieux
en mieux, il fallait toucher les maillons faibles et que ceux-ci se trouvaient
dans l'écosystème, en particulier les sous-traitants pour l’espionnage
économique ou encore des établissements plus vulnérables comme les
systèmes de santé 2 ou les collectivités territoriales 3 qui doivent délivrer sans
délais des services indispensables à la population pour les attaques par
rançongiciels.
La troisième est la sophistication croissante des modes opératoires
visant à dissimuler leur origine réelle et désorienter les capacités
d’attribution des attaques.
Offuscation, dissimulation, sophistication des modes opératoires.
Sur le plan des menaces de nature stratégique, l’ANSSI se heurte
aujourd’hui à de nouvelles stratégies de dissimulation adoptées par les acteurs
offensifs. Dans les échanges avec ses partenaires nationaux et internationaux,
comme dans l’observation directe des infrastructures d’attaques, elle constate par
exemple :
- un effort, particulièrement de la part des modes opératoires supposés
russes, de renouvellement, de diversification et de banalisation des infrastructures
de commande et contrôle (C2) visant à les rendre encore moins détectables et
caractérisables ;
- un partage d’infrastructures et de codes malveillants entre des modes
opératoire supposés russes et d’autres plutôt liés à l’Iran.
Les groupes cybercriminels se sont structurés et disposent de moyens conséquents, aidés par la
disponibilité croissante sur Internet de nombreux outils d’attaques. Les actions conduites par ces
groupes sont grandement planifiées et construites comme de véritables opérations de renseignement
(ingénierie sociale en amont, ciblage, choix du moment opportun pour déclencher la charge, en
amont de publication de résultats financiers par exemple).
2 En France en 2019, 120 établissements du groupe privé Ramsay/Générale de Santé en août, les
CHU de Montpellier (au printemps) et de Rouen (en novembre), en République Tchèque, l’hôpital de
Brno en pleine crise sanitaire au printemps 2020
3 Exemple récent de l’agglomération de Marseille à la veille des élections municipales
1