Le vol de données a changé la nature des cybermenaces. L’AFCDP organisait le 9 février 2023, sa 17euniversité à la maison de la chimie à Paris. Devant un parterre impressionnant de représentants de la protection des données (DPO ou Data Protection Officers), le colonel Naëgelen, DGA de l’ANSSI a appelé à un rapprochement des fonctions des RSSI et des DPO. Rapprochement devenu indispensable du fait de l’évolution des attaques en cybersécurité.

Le vol de données au cœur des nouvelles cybermenaces selon le DGA de l’ANSSI

RSSI et DPO sont dans le même bateau de la protection des données, un bateau fort mis à mal par les cybercriminels, qui n’hésitent pas à publier les données volées pour faire pression sur les victimes… et se faire un peu d’argent supplémentaire au passage — une marine spectaculaire pour cette illustration, une « œuvre » très romantique réalisée avec Midjourney dans le cadre de nos expérimentations de l’IA pour les images.

 

Le caractère abject des attaques contre les hôpitaux

Emmanuel Naëgelen est directeur adjoint de l’ANSSI, Agence nationale de la sécurité des systèmes d’information. Il occupe un poste traditionnellement dévoué à un militaire. Ce qui est son cas, puisqu’il est colonel de l’armée de l’Air.

Il a une longue expérience de la cyberdéfense depuis 2009.

Emmanuel Naëgelen a appelé à la collaboration entre RSSI et DPO du fait de l’évolution des menaces cyber qui font de plus en plus appel au vol de données et au chantage à la divulgation.

Des attaques en baisse mais le vol de données qui progresse

Le rapport de l’ANSSI de 2022 vient de sortir. On peut y lire que les cyberattaques par rançongiciel, si elles ont heureusement un peu baissé en nombre en 2022, ont beaucoup évolué et touché en priorité les PME et ETI (40 %) et les collectivités locales (23 %) et institutions de santé (10 %), soit près des trois quarts des attaques par ransomware pour ces trois cibles principales.

Répartition des victimes de cyberattaques par rançongiciel en 2021 et 2022 — source : rapport de l’ANSSI 2022

Des attaques contre les hôpitaux que le colonel Naëgelen a qualifiées d’abjectes.

Il a déclaré s’être rendu compte que « la multiplication de ces attaques rapprochait naturellement les RSSI (responsables de la sécurité informatique) et les DPO (qui ont la charge de la protection des données).

DPO et RSSI sont dans le même bateau
Emmanuel Naëgelen

“Peut-être même que certains sont les deux à la fois   ?” a-t-il ajouté. Même si certains dans la salle ont fait valoir “que les DPO avaient besoin de dormir”, il fut immédiatement conforté dans cette hypothèse, en entendant la première question posée par un représentant de l’AFCDP qui cumulait les deux responsabilités.

Des menaces élevées et qui changent de nature

À l’image des veilles sur la réputation, il convient de surveiller les divulgations de données concernant son organisation ou ses partenaires et d’appliquer les recommandations relatives à l’authentification multifacteur et aux mots de passe disponibles sur le site de l’ANSSI.

Comparaison des signalements d’attaques par rançongiciel en 2021 et 2022. Des chiffres en baisse en 2022, mais une menace qui reste élevée — Source ANSSI

Les menaces de cybersécurité sont élevées en ce moment, comme le montre le rapport de l’ANSSI. Mais le plus inquiétant selon son DGA, c’est la perfection de la menace.

Face à ces menaces, un constat “triste” selon lui : ce sont toujours les mêmes vulnérabilités qui sont exploitées.

Les vulnérabilités les plus exploitées : “same old song and dance”. Les portes d’entrée rêvées pour le vol de données — source ANSSI 2022

Ainsi, le 3 février 2023, l’ANSSI a-t-elle posté une alerte sur un composant ESXi de VMware qui date de février 2021 ! “Le Patch est sorti, mais n’a pas été appliqué. L’impact a été énorme” a ajouté Emmanuel Naëgelen.

Les deux types d’acteurs de la menace

Ces menaces ont deux origines, a-t-il expliqué.

Les menaces en provenance des États

Ceux-ci sont précurseurs depuis une vingtaine d’années. Mais la menace évolue. “Avant, ce type d’attaques était réservé aux grandes puissances, mais depuis quelques années, de nouvelles catégories d’États recourent à des entreprises privées comme NSO GROUP”, l’éditeur israélien du tristement célèbre Pegasus. Ce logiciel espion a été à l’origine d’une brouille entre le Maroc et la France en 2021.

De la prolifération des logiciels espions

“L’Industrie du logiciel espion a ainsi permis de démocratiser la pratique de la surveillance informatisée. Elle le fait avec des performances qui sont vraiment dignes du très haut niveau de la première ligne. Et pour cause, NSO Group occupe aujourd’hui environ 700 ingénieurs qui ne font presque qu’une seule chose : développer un logiciel qui vise à pirater des iPhone”.

“À titre de comparaison, l’ANSSI emploie 600 personnes”, a-t-il ajouté, alors pas étonnant que cet “outil soit extrêmement performant”. Les cibles de ces attaques ? Les chefs d’État, les diplomates de façon classique, “mais aussi des dissidents, des journalistes, voire certains hauts dignitaires ou leurs maîtresses…”.

Cela constitue un “sacré changement de doctrine”, ajouta le DGA de l’ANSSI.

On observe une “véritable prolifération de ces outils que personne n’est capable de contrôler à cet instant”

Les sous-traitants plus vulnérables que les cibles finales

“Nous constatons aussi que les États visent de plus en plus souvent les sous-traitants des grands groupes, sous-traitants qui sont évidemment moins robustes que les cibles finales”.

Un constat de l’ANSSI qui ne rassurera personne et qui démontre la fragilité des États. Y compris en face de plus petites nations qui peuvent désormais se hisser à la hauteur des plus puissantes.

Les menaces en provenance des cybercriminels

Deuxième source des attaques cyber décrites par le colonel Naëgelen, les cybercriminels. “Ils ont énormément progressé depuis 4 à 5 ans, car ils ont industrialisé leurs capacités et pratiquent désormais la pêche au chalut sur Internet pour attraper tout type de poisson, petit comme gros”.

Les différentes ransomware en 2021 et 2022 — Source ANSSI

L’arrestation d’un affilié de Lockbit au Canada a démontré le changement de paradigme de la cybercriminalité : “À lui seul il a fait 100 victimes en France”. Rien d’étonnant à cela, car “la France est le deuxième pays le plus visé par Lockbit dans le monde”.

C’est en effet ce que nous apprenait Luca Berni, directeur du conseil, Threat Intelligence Services de Palo Alto Networks Unit 42, lors d’une conférence IT for Business, le 8 février à Paris.

Les affiliés de Lockbit, un RaaS populaire en ce moment, sont nombreux. Ils sont capables de s’attaquer “à un État complet comme cela a été le cas l’été dernier au Monténégro, et en avril au Costa Rica, qui a été obligé de se déclarer en état d’urgence suite à une attaque par un groupe cybercriminel”, le gang russophone Conti.

Un ransomware dont les experts de la cybersécurité Palo Alto Networks déclaraient en 2021 “qu’il n’est pas aisé de le bouter hors de son réseau” et qui est tombé en désuétude. Il est probable que ses affiliés aient rejoint le gang Lockbit, la nouvelle star du rançongiciel.

Au-delà du chiffrage, le chantage à la divulgation des données

Autre évolution intéressante de l’année 2022, plutôt que de chiffrer les systèmes d’information, désormais, “ces cybercriminels s’investissent dans le vol des données et au chantage à la divulgation”.

Il s’agit d’une stratégie très efficace. Avec des données personnelles sensibles juridiquement et évidemment critiques pour la réputation des entreprises et des établissements. Cela permet aussi de porter directement atteinte à la confiance des clients ou des usagers.

Ensuite, les cybercriminels mènent des attaques ciblées sur les personnes avec ces vols de données. Ou encore pour revendre les données afin de permettre des attaques en ingénierie humaine.

Quand vous avez récolté ces données, vous pouvez monter dans un deuxième temps des arnaques. Cela se fait à partir des identifiants ou des mots de passe que vous avez pu récupérer.

Voici l’explication de la nécessité du rapprochement ou à tout le moins, de le collaboration entre RSSI et DPO. Car les deux fonctions sont désormais liées.

Si les données d’un particulier ont été dérobées, il est ensuite plus facile de l’approcher pour abaisser son niveau de défense et pirater son compte Ameli.fr ou, comme c’est la mode en ce moment, son compte en banque.

Le vol de données dans la cybercriminalité

“Le vol de données est manifestement la nouvelle méthode utilisée par ces cybercriminels pour rendre encore plus efficace l’ensemble de leurs actions”, a précisé le représentant de l’ANSSI.

Et cette tendance n’est pas près de s’éteindre. La récente attaque contre Royal Mail le démontre avec sa menace de divulgation des données. L’œuvre du gang Lockbit, toujours lui.

“Mais pourquoi un tel niveau de menace”, a-t-il demandé ?

Il est dû à plusieurs facteurs liés à la numérisation de notre société et de nos entreprises. Mais le facteur récurrent est que l’on rencontre “toujours les mêmes faiblesses, qui sont certes quasiment toutes documentées par les défenseurs, par les éditeurs de logiciels”.

“Manifestement, ces correctifs ne sont pas toujours appliqués. Ce qui fait qu’aujourd’hui plusieurs milliers de serveurs sont régulièrement touchés par ces attaques” poursuit le colonel Naëgelen.

Mais comme l’a fort bien dit Alain Bauer, désormais professeur de criminologie appliquée au Conservatoire national des arts et métiers, à New York et Shanghai, il faut veiller à ce que les “États prennent des dispositions punitives contre les criminels et cessent de stigmatiser les victimes”.

Alain Bauer a tenu la salle en éveil avec sa verve et son humour habituels

Or, cela tombe bien, la démarche prônée par l’ANSSI est en appui des acteurs du public et du privé.

Comment se protéger des cybermenaces et des vols de données ?

Le colonel Naëgelen a décrit l’approche comme réticulaire et servicielle », des mots beaucoup moins savants qu’il paraît, nous a-t-il dit pour nous rassurer.

Démarche réticulaire : en réseau avec le privé et le public et tous les relais ;
Démarche servicielle : en apportant des services en lignes automatisés.

GIP, CSIRT, etc.

Le GIP cybermalveillance.gouv.fr « a fêté ses 5 ans et peut désormais se vanter de beaux résultats avec 8 millions de visiteurs, ce qui a permis de traiter 600  000 demandes d’assistance avec 15 agents seulement ».

L’ANSSI a promu en 2021/2022 la création, dans le cadre de France Relance, de plusieurs centres de réaction cyber. Cela s’est fait dans des secteurs d’activité comme le domaine maritime, la santé ou l’aviation. 12 régions de France sont concernées et bientôt les territoires d’outre-mer.

À quoi servent tous ces CSIRT (Computer Security Incident Response Team) ? « Ils sont là pour apporter aussi, au niveau local, en proximité, une première réponse en termes de prévention, mais aussi de gestion de crise ».

Un maillage territorial important et une nouvelle directive européenne

En bref, car j’ai simplifié, un maillage territorial important. celui-ci s’est également accompagné de la montée en puissance de la gendarmerie avec la création du ComCyberGend.

En dehors de ces actions, « la réglementation européenne va être un levier extrêmement puissant pour lutter contre cette cybercriminalité » a ajouté le colonel Naëgelen, et notamment la révision de la directive 17, la directive européenne sur la sécurité des réseaux et des systèmes d’information qui vient d’être promulguée au Journal officiel de l’Union européenne

[NDLR Que nous n’avons pas pu trouver parmi les nombreux sites de l’UE].

Élargir le spectre pour inclure les PME, les ETI et les collectivités locales

« L’objectif de cette directive, c’est d’aller vraiment vers une cybersécurité de masse au profit encore une fois, des établissements publics, des entreprises, des collectivités », a expliqué le DGA de l’ANSSI. Avec elle, « nous allons passer de 6 à 23 secteurs d’activité régulés ».

Autre point de taille, « cette nouvelle directive ne s’adresse pas seulement aux grands groupes ni aux administrations centrales. Elle vise également les PME et les ETI et quasiment toutes les collectivités territoriales ».

Comme nous l’avons vu ci-dessus, ce sont bien les cibles privilégiées des cybercriminels.

Il ne reste plus qu’à espérer que ces mesures entreront en vigueur plus vite que le prochain « fork » de Lockbit. Alors qu’une version du Builder a été déjà divulguée sur Twitter par un développeur en désaccord avec le gang.

Où va le monde de la cybercriminalité ?

Luca Berni

Selon Luca Berni de Palo Alto Networks Unit 42, « Si l’on regarde les modèles d’activités passées, chaque fois qu’un groupe devient célèbre, il a tendance à changer de nom. Va-t-il être rebaptisé ?

La fuite du Builder a entraîné des vols de données imputables au système Lockbit. Même si celles-ci ne sont pas liées au gang principal. La menace du cryptage ne disparaîtra pas de sitôt, même si les entreprises sont moins enclines à payer des rançons ».

Les menaces en permanente reconfiguration

Les menaces sont donc sans cesse en reconfiguration. Et les cybercriminels se montrent agiles et rapides. Bien plus que leurs cibles qui tendent à mettre beaucoup de temps à appliquer les patches de sécurité. Quand ils ne les oublient pas, purement et simplement.

Une mise en place des parades adaptées qui ne va pas toujours de soi pour les petites entreprises en effet, même si leur arsenal logiciel est moindre (15 solutions en moyenne, 10 pour les ETI et 50 pour les grandes entreprises selon Alain Bouillé, DG du CESIN, dont 85 % des membres sont des RSSI)

Alain Bouillé (à gauche) lors de la conférence IT for Business du 8 février 2023

Les solutions d’EDR améliorent les choses

Pour Alain Bouillé, il existe de nombreuses solutions d’EDR (Endpoint Detection and Response – voir ici pour les détails). Celles-ci permettent, même s’il n’y a pas de miracles, de prévenir bien des attaques.

« On note une forte hausse du déploiement des EDR, devenu une réalité dans 81 % des entreprises », proclame le CP du dernier baromètre du CESIN. « Les outils de gestion des vulnérabilités ainsi que les services de SOC comptent parmi les dispositifs jugés les plus efficaces. Enfin, on peut noter que 6 entreprises sur 10 ont recours à des offres innovantes issues de start-up ».

Un niveau de satisfaction qui monte

Et les résultats sont là selon le DG du groupe d’experts de la cybersécurité :

« Le niveau de satisfaction de nos membres a évolué », a-t-il déclaré lors de la présentation de son baromètre le 8 février. « Avant, ils étaient mitigés, mais cette année, ils déclarent 88 % de satisfaction, même si cela varie en fonction de la qualité de la mise en œuvre ».

Les parades existent, mais rien ne vaut la collaboration RSSI/DPO

Les parades existent, même si on assiste bien à un jeu de chat et de souris. Raison supplémentaire pour que RSSI et DPO collaborent afin de mettre en place les mesures les plus efficaces. Comme l’incontournable double authentification qui permet de limiter les dégâts.

Mais ce n’est pas tout. Il faudra mieux collaborer pour éviter ces fuites de données qui permettent de sophistiquer les attaques d’hameçonnage et d’ingénierie humaine. Et ceci jusque dans les rangs des professionnels.

Il nous faudra suivre les progrès de la collaboration DPO/RSSI. Ainsi que son impact sur la prévention des vols de données. Rendez-vous pour la 18e université de l’AFCDP en 2024.