AbonnésHigh-tech

Cyberattaques : «Le télétravail offre des opportunités», met en garde l’Anssi

Le gendarme de la cybersécurité dresse un premier bilan de l’année à l’occasion du mois de la Cybersécurité.

 Illustration. Les cas d’attaques de type rançongiciel ont explosé en France en 2020.
Illustration. Les cas d’attaques de type rançongiciel ont explosé en France en 2020. AFP/Rob Engelaar

Ils sont les experts en première ligne pour intervenir en cas d'incident de cybersécurité. Mathieu Feuillet est sous-directeur adjoint Opérations de l'Anssi (Agence nationale de la sécurité des systèmes d'information) et est à la tête d'une équipe de 250 agents dont la parole est rare.

À l'occasion du Cybermoi/s, une campagne de sensibilisation aux risques, il fait le bilan d'une année 2020 marquée par une hausse sans précédent des cyberattaques avec tentative d'extorsion, les rançongiciels.

Pour bien comprendre le rôle de votre sous-direction, comment traitez-vous un incident de sécurité ?

MATHIEU FEUILLET. Une équipe est disponible en permanence pour recueillir les signalements par différents canaux et fait un premier traitement de qualification sur l'impact de la cyberattaque. Ils apportent les premiers éléments de réponse.

Au deuxième niveau, une autre équipe avec des capacités techniques plus importantes traite la majorité des incidents et apporte des conseils aux victimes. Elle communique toutes les informations que l'on connaît sur un rançongiciel précis.

Nous avons un système de triage comme aux urgences avec un personnel d'orientation qui, après une première constatation, oriente la victime. Soit vers une équipe de prise en charge lourde si le pronostic vital est engagé, soit vers une salle d'attente.

Mathieu Feuillet est sous-directeur à l’Agence nationale de la sécurité des systèmes d’information/Patrick Gaillardin
Mathieu Feuillet est sous-directeur à l’Agence nationale de la sécurité des systèmes d’information/Patrick Gaillardin  

Des victimes nous contactent pour fournir les clés pour déchiffrer leurs données ou casser le chiffrement mais nous ne fournissons pas ce service.

Nous les redirigeons vers le site officiel d'Europol www.nomoreransom.org qui contient des clés de déchiffrement et des outils pour se débarrasser des rançongiciels les plus connus. Mais il ne faut pas se reposer dessus car peu d'entre eux sont vulnérables mais plutôt prendre des mesures de protection en amont et s'organiser pour le jour où cela arrive. Nous avons édité un guide des bonnes pratiques.

Pour les incidents plus graves comme la cyberattaque contre le CHU de Rouen, des experts de haut niveau entrent en action et se rendent sur place.

Il y a 6 mois une partie de la France basculait dans le télétravail, qu'est cela a changé pour la cybersécurité des entreprises ?

Le travail à distance est réalisable avec un niveau de sécurité correct, il faut juste prendre le temps de le mettre en place mais la crise sanitaire a fait que des entreprises ont dû le faire en urgence avec le risque d'offrir des opportunités aux attaquants.

Les mauvaises configurations d'un outil collaboratif ou les vulnérabilités non patchées sur des VPN sont des portes d'entrée tout comme le phishing par émail. Cela augmente la surface d'attaque des cybercriminels notamment les opérateurs de rançongiciels qui concernent en ce moment le plus grand nombre de victimes au sein de l'économie et de la société françaises.

Quel est l'état de la menace actuelle ?

Nous avons recensé 128 attaques de ce type traitées par l'Anssi entre le 1er janvier et le 30 septembre 2020, contre 69 pendant toute l'année 2019. Ce ne sont que les attaques dont nous avons eu connaissance ou que les entités qui nous connaissent nous ont signalées donc ce n'est pas totalement représentatif de ce qui se passe dans le pays.

Elles ont visé en priorité des administrations décentralisées comme les mairies avec 20 % des attaques, l'industrie et le secteur de la santé. Les victimes sont principalement des entreprises régulées comme les Opérateurs d'importance vitale (OIV) ou des Opérateurs de services essentiels (OSE) comme des fournisseurs d'électricité ou d'eau, ou des acteurs de la grande distribution par exemple.

Est-ce que les hôpitaux déjà sous tension pendant la crise sanitaire ont été particulièrement ciblés ?

Il y a eu quelques attaques qui ont été médiatisées comme celle de l'AP-HP (hôpitaux de Paris) mais nous n'avons pas mesuré de menaces spécifiques sur ce secteur avec des profils divers. Il y a eu quelques Ehpad qui ont rencontré des soucis mais pas forcément de grosses structures.

Nous avons mis en place un plan depuis l'année dernière pour aider les établissements de santé à améliorer leur niveau de cybersécurité. Nous voulons faire évoluer les pratiques des centres hospitaliers et cela avance bien. Cela devrait accélérer avec les nouveaux moyens de financement du numérique prévus par le plan de relance du gouvernement.

Comment analysez-vous la montée en puissance des locations de « ransomware as a service » ou un logiciel malveillant atterrit dans les mains de pirates amateurs ?

Le rançongiciel est une activité criminelle bien organisée. Plusieurs groupes se spécialisent par créneau depuis longtemps. Certains récupèrent des accès à un système informatique qu'ils revendent sur des forums sur le Dark Web. D'autres conçoivent les logiciels malveillants comme les ransomwares mais ne mènent pas les attaques. Ils sélectionnent des affiliés en fonction de leur potentiel de gains.

Si on prend l'exemple de Sodinokibi, un rançongiciel particulièrement actif, il y a différents modes opératoires avec différentes cibles. Certains vont se concentrer sur des petites cibles avec des petites rançons, d'autres vont viser de grandes entreprises pour de plus grosses extorsions. Tout est basé sur l'efficacité économique. C'est une industrie qui se structure.

J'en profite pour insister : il ne faut pas payer la rançon car cela entretient ce système mafieux.

Est-ce que nous avons une idée de l'origine de ces groupes de cybercriminels ?

Faire de l'attribution est un acte politique, donc en tant que fonctionnaire, je ne fais pas de politique. Dans notre dernier rapport sur les rançongiciels, nous expliquons que certains de ces groupes sont russophones et mettent en avant sur les forums un code d'honneur qui leur interdit d'attaquer des pays de la Communauté des Etats Indépendants, soit l'ancien bloc soviétique.

Leurs rançongiciels ne se lancent d'ailleurs pas sur un ordinateur qui utilise le cyrillique.