Aller au contenu principal

Le cyber, nouveau vecteur d’ingérence étatique

AdobeStock
10/01/2022
Le cyberespace est exploité par les services de renseignement étrangers, de manière directe ou par le biais d’acteurs tiers, au profit de leurs objectifs stratégiques.

La DGSI est compétente pour mener des investigations sur des ingérences étatiques cyber telles que :

  • Le ciblage d’une entreprise d’un secteur stratégique, compromise après l’ouverture d’un courriel d’hameçonnage, afin de collecter sa propriété intellectuelle qui alimentera ensuite des entreprises étrangères ;
  • Une opération de cyberespionnage visant une administration régalienne pour collecter des informations sur les orientations politiques nationales en lien avec des thématiques stratégiques ;
  • La surveillance de dissidents politiques sur le territoire national après le piégeage de leurs supports numériques ;
  • Une cyberattaque à l'encontre d'un opérateur d’importance vitale (OIV) à des fins de déstabilisation par le biais du sabotage de son infrastructure informatique ;
  • La compromission de boîtes de messagerie électronique, permettant l’exfiltration de données puis leur divulgation dans le cadre d’une opération de manipulation de l’information.

Compte tenu du développement extensif de la sphère cybercriminelle, la DGSI suit également les liens potentiels entre la cybercriminalité et les acteurs étatiques.

Focus : le mode opératoire étatique

Un mode opératoire d’attaque (MOA) étatique désigne un ensemble de techniques, tactiques et procédures mises en œuvre par un exécutant au profit d’un commanditaire. En anglais, le terme d’ « Advanced Persistent Threat (APT) » est couramment utilisé pour désigner ce qui constitue une véritable boîte à outils cyberoffensive.

Un MOA n’est donc pas un groupe d’attaquants mais un ensemble d’éléments techniques, de traces et de comportements cohérents au cours d’une attaque.

Dans ce cadre, dès lors qu’un MOA est documenté de manière publique, il peut être copié ou repris par un autre groupe d’attaquants, pouvant donner lieu à des cyberattaques sous fausse bannière compliquant la désignation des auteurs.

En s’appuyant sur ses capacités techniques et de renseignement, le travail de la DGSI est notamment d’imputer les cyberattaques, tant à leurs exécutants qu’à leurs commanditaires, pour en informer les autorités politiques nationales. Il s’agit d’un processus qui repose sur les capacités d’investigation technique et d’analyse ainsi que sur les renseignements que la DGSI est amenée à obtenir par ses moyens propres et avec ses partenaires.