Solutions
&
techno

Vincent Strubel (ANSSI) : « des équipements de sécurité onéreux deviennent des failles »

L’ANSSI a publié le « Panorama de la Cybermenace 2024 » qui met en avant les grandes tendances constatées sur l’année écoulée.

De gauche à droite : Vincent Strubel (DG) et Chloé Chabanol (SDO), ANSSI. - © Républik IT / B.L.
De gauche à droite : Vincent Strubel (DG) et Chloé Chabanol (SDO), ANSSI. - © Républik IT / B.L.

Le 11 mars 2025, Vincent Strubel, directeur général de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), et Chloé Chabanol, sous-directrice opérations de l’ANSSI, ont présenté à la presse le « Panorama de la Cybermenace 2024 ». Cette étude dresse un bilan de l’année écoulée en matière de cybermenaces telles que constatées par l’agence. L’ANSSI a traité, en 2024, 4386 événements de cybersécurité (dont 3004 signalements et 1361 événements), ce qui représente une croissance de 15 % par rapport à 2023 et qui confirme donc le niveau élevé de la menace.

L’année 2024 a bien sûr été marquée par les Jeux Olympiques et Paralympiques de Paris 2024 où douze fois plus d’attaques ont été enregistrées par rapport aux JOP de Tokyo. « Les Jeux constituent un vrai succès collectif car les événements n’ont débouché sur aucun incident effectif » a relevé Vincent Strubel, ce que nous avons relevé à plusieurs reprises ici même. D’une manière générale, les opérations de déstabilisation ont été nombreuses, notamment avec les JOP. Les attaques DDoS (contre le RIE, OVH, etc.) ont été deux fois plus nombreuses qu’en 2023. Il y a eu aussi un développement des tentatives de sabotage industriel, des prises de contrôle de panneaux d’affichage électronique urbains, etc. Cependant, les « attaques hybrides » associant la manipulation de l’information, le sabotage physique (comme avec la SNCF en juillet 2024) et des atteintes à la résilience numérique sont en dehors du périmètre de l’ANSSI qui peut être amenée à collaborer avec les organismes concernés pour la part cybersécurité.

Un écosystème de menaces non-binaire

Les objectifs des cyber-attaquants demeurent variés. Les cybercriminels de droit commun côtoient les groupes réputés affiliés à la Russie ou à la Chine qui ont des objectifs géopolitiques ainsi que les groupement hacktivistes aux visées politiques. Mais les frontières entre ces différents types d’attaquants sont floues : ce sont parfois les mêmes personnes dans différents contextes, les outils sont communs, etc.

La première finalité du cybercrime demeure bien sûr lucrative même si la déstabilisation politique et l’espionnage sont particulièrement soutenus dans le contexte géopolitique actuel. 144 incidents ont relevé du ransomware en 2024, frappant surtout les PME et les collectivités. Les établissements de santé sont moins victimes qu’auparavant car les efforts consentis en faveur de ce secteur l’ont rendu plus résilient. Les chiffrements de données sont désormais plutôt dépassés par les purs vols de données, en pleine croissance exponentielle.

L’hygiène numérique demeure insuffisante, surtout chez les fournisseurs

Beaucoup des cyber-attaques réussies, notamment contre les PME ou les collectivités, bénéficient de défauts d’hygiène numérique. Une modalité de plus en plus fréquente est l’attaque sur la chaîne d’approvisionnement. Les grandes entreprises étant de mieux en mieux protégées, il est en effet plus simple pour les attaquants de s’en prendre aux fournisseurs et partenaires plus fragiles. Une modalité classique est ainsi de diffuser un composant logiciel corrompu qui va être embarqué dans de très nombreux produits avec une très faible traçabilité. Et ce n’est qu’une fois le composant largement déployé que les attaquants utilisent la faille installée, parfois jusqu’à trois ans après l’initiation de l’opération. Le Club CISO du 26 mars 2025 se penchera d’ailleurs sur une autre attaque dans l’approvisionnement, la « Chaîne d’approvisionnement matériel : une menace négligée ? ».

De gauche à droite : Vincent Strubel (DG) et Chloé Chabanol (SDO), ANSSI. - © Républik IT / B.L.
De gauche à droite : Vincent Strubel (DG) et Chloé Chabanol (SDO), ANSSI. - © Républik IT / B.L.

Vincent Strubel a exprimé sa colère contre les fournisseurs de produits de sécurité : « les cyber-attaquants exploitent massivement les équipements de bordure (firewalls, VPN…), c’est à dire des équipements de sécurité onéreux dans lesquels les clients ont une confiance aveugle mais qui se révèlent être des portes d’entrée sur le SI, de véritables failles ». Près de la moitié des opérations de cyberdéfense menées par l’ANSSI relèvent d’ailleurs de ce type de vulnérabilités. Les attaques contre les prestataires, notamment de SaaS et de IaaS (y compris les GAFAM), permettent de massifier le nombre de victimes, les clients de ces prestataires. L’attaque de fournisseurs de ressources (IaaS notamment) peuvent aussi servir à créer des capacités pour les cybercriminels pour mener d’autres attaques.

Mercenaires et sabotages

Un point d’inquiétude particulier exprimé par l’ANSSI est la croissance du secteur des entreprises de lutte informatique offensive privée. Leur action principale consiste à corrompre les smartphones. Ces mercenaires peuvent agir pour le compte de petits Etats n’ayant pas les moyens de développer des capacités et des outils par eux-mêmes. Comme l’a souligné Chloé Chabanol, « il y a trois bonnes pratiques : redémarrer régulièrement, effectuer les mises-à-jour et bien séparer les usages personnelles et privés. »

Chloé Chabanol est sous-directrice opérations de l’ANSSI - © Républik IT / B.L.
Chloé Chabanol est sous-directrice opérations de l’ANSSI - © Républik IT / B.L.

Dans les attaques hybrides, un type est géré par l’ANSSI : les tentatives de sabotage de petites installations industrielles (de particuliers, de TPE…). Quand il s’agit d’interrompre le fonctionnement d’un parc éolien, la perte financière est limitée. Quand les cybercriminels annoncent le sabotage d’une station d’épuration avec déversement d’eaux polluées dans la Seine, le but est anxiogène avec recours à l’exposition médiatique, que le sabotage soit réel ou bien totalement inventé. Certaines opérations de sabotage contre des opérateurs télécoms - cibles actuellement récurrentes - révèlent une haute maîtrise de leur architecture.En France où les télécoms sont régulées depuis longtemps, les opérateurs sont plutôt mieux sécurisées qu’ailleurs.

NIS2 vs administration Trump

Enfin, l’actualité de la cybersécurité est aussi très politique. La transposition de la directive NIS2 (en cours) sera pour l’ANSSI un véritable levier d’action. Même si cela a fait grincer des dents, Vincent Strubel a défendu sa position d’annoncer d’entrée de jeu une absence de sanction, durant trois ans à partir de la définition d’un cadre clair, contre les entreprises n’ayant pas encore mis en place ce cadre. Il s’agit pour lui d’être réaliste, sachant que trois ans sera la durée d’un sprint de mise en conformité et que les notifications, elles devront bien être réalisées dès le premier jour.

Côté relations avec les Etats-Unis, l’ANSSI a admis avoir une coopération régulière avec les autorités de ce pays. Il est trop tôt, selon Vincent Strubel, pour juger des conséquences éventuelles de l’administration Trump sur cette coopération jusqu’ici très utile.

En savoir plus

- Sur le site de l’ANSSI : « Panorama de la Cybermenace 2024 ».