L'état de la menace cyber en France

Menace cyber
Adobe Stock
Les sociétés contemporaines se sont numérisées de manière exponentielle, d’abord à partir des années 1990 mais surtout au cours des années 2000, grâce à la démocratisation de l’accès à Internet à travers le monde.

L’émergence des objets connectés, souvent peu voire pas du tout sécurisés, constitue une nouvelle étape de ce développement. Ce phénomène d’interconnexion et d’interdépendance, inédit dans l’histoire de l’humanité, pose de nombreux défis à notre pays.

Un espace cyber en tension permanente

Le monde physique et le monde virtuel sont étroitement liés, si bien qu’il est désormais difficile de tracer une ligne entre les deux. Toute activité humaine dépend, de près ou de loin, de l’informatique et du numérique, comme le montrent régulièrement les attaques par rançongiciels qui paralysent souvent l’activité de la victime, qu’il s’agisse d’une entreprise ou d’un centre hospitalier universitaire.

La perception de ce qui mérite d’être protégé est bouleversée : la protection des informations ne concerne plus simplement les documents classifiés. On assiste à une forme d’arsenalisation des données à caractère personnel ou de la propriété intellectuelle, qui deviennent autant une cible qu’une arme dès lors qu’un acteur malveillant se les approprie (ex : hack and leak, vente de données sur l’Internet clandestin ou exploitation à des fins de renseignement humain, etc.).

À l’exception de la couche physique, dont les composants sont territorialement situés (ex : câbles sous-marins, centres de données, relais Internet, etc.), le cyberespace ne connaît pas de frontière. Il peut ainsi être caractérisé comme un espace qui n’est ni en guerre, ni en paix mais en tension permanente.

Des opérations cyber hostiles menées par des acteurs étatiques et para-étatiques

Le cyberespace est devenu un vecteur incontournable pour les opérations cyberoffensives pour un grand nombre d’acteurs étatiques et para-étatiques. Les services de renseignement étrangers s’appuient naturellement sur les opportunités offertes par le cyberespace pour soustraire de manière efficace et discrète des données sensibles à une victime, manipuler l’information dans un contexte électoral ou saboter des infrastructures critiques. Il peut s’agir d’opérations entièrement cyber, qui mettent en œuvre un mode opératoire d’attaque cyber (MOA [1]).

Celui-ci, qui s’apparente à une boîte à outils, présente un avantage considérable pour les attaquants : le MOA est difficilement attribuables à ses opérateurs et à leurs commanditaires (principe de « plausible deniability ») sans une investigation en renseignement approfondie. Les opérations cyber peuvent également venir en appui d’opérations d’ingérence plus classique (ex : contrôle de source).

Un nombre croissant d’États possède la capacité de commanditer des actions de cyberespionnage grâce à un ticket d’entrée devenu abordable, bénéficiant d’investissements conséquents et du développement d’un marché privé, avec des sociétés proposant des services de lutte informatique active. De plus, l’offre d’outils offensifs sur étagère, qu’ils soient proposés par des entreprises privées ou des groupes cybercriminels se poursuit et contribue à la multiplication d’acteurs malveillants.

Les attaquants exploitent sans retenue le niveau de sécurité souvent encore insuffisant des systèmes d’information des acteurs publics et privés pour mener leurs activités cyber hostiles.
Retrouvez ici les conseils de la DGSI à destination des entreprises et institutions.

La France ciblée par des acteurs aux intérêts hétérogènes

Dans ce contexte, la DGSI assure une mission de cyberdéfense. Le service est chargé de détecter, caractériser, imputer et, dans la mesure du possible, entraver toute ingérence étatique cyber de manière proactive (ex : identification des acteurs susceptibles de cibler le territoire national et leurs relais, qu’ils soient techniques ou humains) ou réactive (ex : signalement de victimes ou d’infrastructures d’attaque de MOA cyber). Le service s’appuie sur l’ensemble des dispositions prévues dans la loi renseignement de 2015 pour parvenir à ces fins.

Des menaces cyber d’origine étatique

Les modes opératoires d’attaque (MOA) mis en œuvre par les principales puissances cyber conjuguent trivialité et sophistication depuis plusieurs mois. Cette situation se manifeste par le développement continu d’un arsenal offensif, une standardisation de leurs outils et techniques mais également par l’utilisation de techniques, tactiques et procédures (TTP) répandues et peu discriminantes, complexifiant la détection et le suivi de leurs activités.

Si le processus d’imputation d’une cyberattaque ne peut pas être systématiquement mené à son terme, l’implication d’États étrangers est fortement probable. Ces actions ont le plus souvent l’espionnage comme finalité, mais elles peuvent également avoir la déstabilisation ou l’extorsion de fonds comme but.

Des menaces cyber d’origine criminelle

La France est sévèrement affectée, depuis plusieurs mois, par la menace cyber d’origine criminelle. Les rançongiciels continuent d’être la menace principale pour les entreprises et institutions françaises en 2022. Ces outils malveillants peuvent engendrer des dégâts financiers conséquents, voire causer des dégâts physiques lorsqu’ils ciblent des infrastructures critiques ou des institutions médicales.

Au même titre que les MOA étatiques, les attaquants poursuivent continuellement le développement de nouvelles méthodes d’attaques afin de gagner en efficacité. En parallèle, la menace cybercriminelle liée aux rançongiciels est marquée par l’émergence régulière de nouveaux acteurs.

La DGSI poursuit ses investigations sur les formes de cybercriminalité susceptibles d’être en relation avec des services de renseignement étrangers ou de faire peser un risque notable contre les intérêts fondamentaux de la Nation.

Des menaces cyber d’origine activiste et terroriste

La menace cyberterroriste peut survenir à tout moment, en fonction de l’actualité nationale et internationale, même si la DGSI n’a pas constaté de résurgence des menaces cyber dans le contexte des récents procès d’attentats.

Enfin, la menace cyberactiviste est aussi imprévisible que diffuse. Les activités observées par le service sont essentiellement en lien avec des intérêts étatiques et susceptibles d’intervenir en fonction de l’actualité nationale et internationale.

Le saviez-vous ?
La DGSI travaille en lien étroit avec ses partenaires nationaux, qu’ils soient services de renseignement ou services du Centre de coordination des crises cyber (C4). Instance interministérielle, le C4 permet aux différents services de l’État ayant une mission de cyberdéfense d’échanger et de se coordonner sur les principales menaces cyber affectant le territoire national sous l’égide de l’ANSSI. Par ailleurs, la DGSI est la seule entité qui peut exercer sa mission de cyberdéfense aussi bien dans un cadre judiciaire que dans un cadre renseignement.

[1] Le mode opératoire d’attaque (MOA) définit un ensemble de techniques, tactiques et procédures cohérentes utilisées par un attaquant au cours d’une campagne d’attaque.