Cybercriminalité : l’opportunisme lucratif domine selon les CERT
Par Bertrand Lemaire | Le | Cybersécurité
InterCERT France, association professionnelle des CERT français, vient de publier son premier rapport d’incidentologie. Ainsi est diffusée une photographie de l’état de la menace en matière de cybersécurité.
Fondée en octobre 2021, InterCERT France réunit les CERT d’entités françaises, qu’ils soient internes (ils interviennent sur leur propre entreprise), externalisés (prestataires) ou institutionnels (comme celui de l’ANSSI). Son objectif est de faciliter la collaboration et l’entraide entre CERT. L’association vient de publier son premier rapport d’incidentologie. Basé sur une étude menée à partir des retours, issus de 65 CERT, de 212 questionnaires diffusés parmi les adhérents de l’association, ce rapport permet de dresser un état des lieux de la cybermenace en qualifiant les attaques réussies et vérifiées, hors DDoS.
La collecte des données a été réalisée sur la période du 13 octobre 2023 au 31 janvier 2024 et concerne donc l’année 2023. Plusieurs thèmes sont couverts comme la nature des incidents (type d’attaque, vecteurs d’intrusion, techniques utilisées par les attaquants), les impacts techniques et métiers (systèmes et technologies impactées, perturbations des services, conséquences financières et réputationnelles), le soutien des forces de l’ordre (interactions avec les autorités, signalements et enquêtes), les capacités d’investigation (moyens techniques et humains mis en oeuvre pour identifier, analyser et comprendre l’incident) et, enfin, la remédiation et la reconstruction (actions correctives, restaurations de systèmes et améliorations post-incident).
Si un cinquième des attaques sont revendiquées et ciblées, les trois-quarts sont certainement ou probablement opportunistes. La grande majorité des incidents ont des conséquences ou des objectifs multiples, par exemple le chiffrement et l’exfiltration de données. Le but lucratif domine très largement les motivations des attaques. Le rançongiciel, avec environ un tiers des cas, demeure l’outil malveillant le plus fréquent, en particulier dans les structures recourant à un CERT externalisé (probablement les plus petites entreprises disposant d’un CERT). Le rapport consacre tout un chapitre à l’étude détaillée des ransomwares. Les cyber-attaquants ne sont que rarement des génies : un tiers se contente d’utiliser des failles documentées et autant un compte valide corrompu. La taille de l’entreprise s’accroît avec la durée de détection de l’incident et le délai de retour à la normale : l’agilité des TPE leur permet au contraire de détecter rapidement quelque chose d’anormal et de revenir à la normale.