Le paysage des cybermenaces évolue d'année en année et de nombreux organismes publics et clubs en sécurité des systèmes d'information (Anssi, Clusif, Cesin...) ne manquent pas de se pencher sur cette question. Cette fois, c'est au tour de l'agence européenne de cybersécurité (Enisa) de livrer à son tour ses observations et analyses à l'occasion de la 10e édition de son rapport Threat Landscape 2022 couvrant la période allant de juillet 2021 à juillet 2022. « Les attaques de cybersécurité ont continué d'augmenter au cours du second semestre 2021 et 2022, non seulement en termes de vecteurs et chiffres mais aussi en termes d'impact », indique en introduction de son étude l'Enisa. « La crise russo-ukrainienne a défini une nouvelle ère pour la cyberguerre et l'hacktivisme, son rôle et son impact sur les conflits. Les États et les autres cyberopérations s'adapteront très probablement à ce nouveau état des lieux et profiter des nouveautés et des défis apportés par cette guerre ».
Cette année, l'Enisa indique en particulier que les attaques destructrices ont constitué un élément important des opérations malveillantes menées par des acteurs de la menace de niveau étatique. Pendant le conflit russo-ukrainien, des cyber-acteurs ont été observés en train de mener des opérations de concert avec des agents militaires», indique le rapport. « Une nouvelle vague d'hacktivisme a été observée notamment depuis le début de la crise russo-ukrainienne. La désinformation est un outil de cyberguerre. Il a été utilisé même avant le début de la guerre "physique" comme activité préparatoire à l'invasion de l'Ukraine par la Russie ». Une vague inédite d'hacktivisme a aussi été identifée avec près de 70 groupes identifiés dans ce domaine visant en particulier des organisation et infrastructures critiques avec des attaques DDoS, du défacement de sites et du leak de données. « De plus, un point assez intéressant était la coordination des cyber-opérations des groupes hacktivistes, principalement via des groupes Telegram auxquels on pourrait facilement rejoindre, participer et même télécharger les outils fournis pour mener des cyber-attaques », souligne le rapport. Parmi lesquels Anonymous, TeamOneFirst, IT Army of Ukraine (certains chercheurs considèrent ce groupe comme hybride puisque sa structure contient des composants étatiques et hacktivistes), GhostSec282 , Against the West283 (ATW a également annoncé un 0-day sur Nginx284), NB65285, et les cyberpartisans biélorusses286. D'autres groupes hacktivistes ont ciblé des organisations ukrainiennes et occidentales comme la Cyber Army of Russia, KILLNET287 288, XakNet 288289 et The Red Bandits.
Des cyberattaques supply chain de plus en plus interconnectées
Le rapport établi par ailleurs 8 catégories de risques majeurs avec pour chacune une tendance associée. En l'occurence, d'abord les rançongiciels (60 % des organisations concernées peuvent avoir payé des demandes de rançon), les logiciels malveillants (avec 66 divulgations de vulnérabilités zero-day observées en 2021) et l'ingénierie sociale poussé par l'essor du spear-phishing mais aussi du whaling (fraude au président), du smishing (phishing par SMS) et du vishing (attaques automatisées ou personnalisées par téléphone). Mais aussi des menaces contre les données, la disponibilité de services (avec notamment l'attaque DDoS majeure de juillet 2022), sans compter la destruction d'infrastructures Internet avec à la clé des pannes et du reroutage de trafic internet à des fins malveillantes. Ou encore l'escalade de la désinformation activée par l'IA (deepfakes) ainsi que le ciblage de la chaîne d'approvisionnement avec des incidents de tiers qui représentent désormais 17% des intrusions en 2021 contre moins de 1% en 2020.
« Au cours de la période considérée, les attaques de la chaîne d'approvisionnement sont devenues de plus en plus interconnectées avec les campagnes de ransomwares, permettant aux acteurs de la menace d'augmenter l'échelle de leurs opérations avec un seul compromis initial », alerte l'Enisa. « De telles attaques de la chaîne d'approvisionnement conduisent généralement au déploiement de ransomwares, à l'extraction de pièces, au vol de crypto-monnaie ou au vol d'informations d'identification qui permettront aux cybercriminels de faciliter davantage leurs activités malveillantes ».
L'administration et le secteur public particulièrement touchés
Entre juillet 2021 et 2022, l'agence de sécurité européenne a également encore pu observer un grand nombre d'incidents ciblant l'administration publique et gouvernement et fournisseurs de services numériques. L'Enisa a également observé un nombre important d'incidents ciblant les utilisateurs finaux et pas nécessairement un secteur particulier. La répartition des incidents cyber par secteur s'établit pour la période à l'Administration/secteur public (24,1%), Fournisseurs de services numériques (13,09%), Grand public (12,43%), Services (11,78%), Finance et banques (8,64%), Santé (7,2%), Transport (4,32%), Energie (3,8%), Armée (3,4%), Média et divertissement (3,27%), Education (1,83%), Alimentaire (0,92%) et Espace (0,39%).
« Le secteur de l'administration publique a été celui qui a enregistré le plus grand nombre d'incidents en termes d'impact social, qui concernaient dans la plupart des cas soit la perturbation des services, soit des violations de données personnelles », explique en outre l'Enisa. Les observations de l'agence montrent également que le secteur de la santé enregistre aussi un grand nombre d'incidents à impact élevé, en raison de cas de violations de données visant les services de santé. Un phénomène qui frappe de plein fouet la France dont le nombre d'hôpitaux visés par des ransomwares notamment ne cesse de grimper.