Le constat général du panorama de la cybermenace 2022 de l’ANSSI révèle une diminution des intrusions avérées, en France, en 2022 par rapport à 2021 et ce, malgré les risques liés au conflit russo-ukrainien et les menaces que cela représente pour le cyber espace des entreprises.
On constate également une baisse de l’activité liée aux rançongiciels ou ransomwares.
Les ransomwares sont des programmes malveillants qui chiffrent les données présentes sur le poste informatique ciblé dans le but d’extorquer de l'argent, sans quoi les données ne seront jamais déchiffrées. Les services de protection des entreprises s’améliorent d’année en année face à ce type de menace et les cybercriminels doivent diversifier leurs attaques.
⚠️ Au vu des chiffres, on pourrait imaginer que le constat est positif, mais en réalité les attaquants sont de plus en plus habiles, cherchant à obtenir des accès discrets et pérennes au sein des réseaux de leurs victimes que sont notamment les infrastructures fragiles et ou sensibles comme le secteur hospitalier, administratif, scolaire ainsi que la plupart des collectivités.
Globalement, on peut établir que les structures les mieux protégées et ayant mis la sécurité au centre de leur Système d’Information en 2022, en intégrant entre autres un Responsable de la Sécurité des Systèmes d’Information (RSSI) au sein de leurs équipes ont pu déjouer un grand nombre d’attaques. Cependant, même si le rançongiciel ne fait plus partie des grandes tendances du moment en matière de cyberattaques, d’autres types d’attaques prennent le relai telles que l’Arnaque au Président, la défiguration des sites, l’exploitation des vulnérabilités ou encore le phishing.
Différents types d'attaques informatiques
L'Arnaque au Président
L'Arnaque au Président consiste pour les attaquants à convaincre le collaborateur d'une entreprise d'effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant, sous prétexte d'une dette à régler, de provision de contrat ou autre.
La défiguration d'un site
La défiguration d'un site consiste en l'altération par un pirate de l'apparence d'un site Internet, qui peut devenir uniformément noir, blanc ou comporter des messages, des images, des logos ou des vidéos sans rapport avec l'objet initial du site, voire une courte mention comme « owned » ou « hacked ».
Exploitation des vulnérabilités
Pour qu'une vulnérabilité soit intéressante à exploiter, elle doit reposer sur de nouvelles failles qui ne font pas encore l’objet de correctif, et doit répondre aux critères suivants : toucher un grand nombre de cibles ; être simple à exploiter ; avoir un but lucratif direct (ransomware) ou indirect (vol de données à des fins de revente ou de chantage)
L'hameçonnage ou phishing
L'hameçonnage ou phishing est une forme d'escroquerie sur internet. Le fraudeur se fait passer pour un organisme connu (banque, service des impôts, CAF, etc.), en utilisant le logo et le nom de cet organisme.
Découvrez notre guide : Comment reconnaître le Phishing.
Les principales souches de rançongiciels
Les principales souches de rançongiciels utilisées par les groupes cybercriminel dans les incidents informatiques et portées à la connaissance de l’ANSSI sont LockBit, Hive et BlackCat.
LockBit
Le rançongiciel LockBit est un programme malveillant conçu pour empêcher l’accès d’un utilisateur au système d’exploitation d’un ordinateur jusqu’au paiement d’une rançon. LockBit recherche automatiquement des cibles précieuses, il se déploie et crypte tous les systèmes informatiques accessibles sur le réseau. Le risque principal pour les entreprises ou toutes organisations ciblées par ce rançongiciel est de perdre l’accès à leur propres données.
Hive
Le rançongiciel Hive fonctionne en cryptant les données et en exigeant des rançons pour le décryptage. En d’autres termes, ce maliciel rend les fichiers inaccessibles et exige un paiement pour la récupération d’accès.
BlackCat
Le rançongiciel BlackCat utilise des techniques de cryptage similaires à celles d’autres types de ransomware, mais ajoute des mesures de sécurité supplémentaires pour rendre plus difficile le décryptage des fichiers. Il utilise notamment deux algorithmes de chiffrement différents et veille à ce que la clé de déchiffrement ne soit jamais stockée sur le même disque que les fichiers chiffrés.
Comment se protéger contre les Rançongiciels ?
Il est excessivement compliqué de récupérer ses fichiers sans payer la rançon. Il est donc primordial de se prémunir contre ces attaques en sécurisant le système d’information par toutes les solutions qui s’offrent à nous, nous vous proposons ici une liste non-exhaustive des actions à mener en collaboration avec notre équipe sécurité :
- L’installation et la mise à jour d’antivirus
- L'installation de pare-feu
- L'application des mises à jours logicielles et systèmes
- La mise en pratique d’une politique de sécurité
- La formation / sensibilisation des utilisateurs
- L'application d’une politique de sauvegarde
- La mise en place d’un Plan de Continuité d’Activité (PCA)
- La mise en place d’un Plan de Reprise d’Activité (PRA)
Comment réagir face à un rançongiciel ?
Dans son Guide d’Hygiène Informatique, l’ANSSI répertorie les bons réflexes à adopter en cas de cyberattaque.
« Aujourd’hui, le meilleur moyen de connaitre les faiblesses de son Système d’Information consiste à les tester à travers des pentests internes et/ou externes. C’est le rôle du hackeur éthique/ pentesteur de s’infiltrer dans votre SI pour en vérifier les vulnérabilités. »
Découvrez le Panorama de la cybermenace 2022 de l’ANSSI.