![\"Quel](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1650227749-1024x536.jpg\" "\\"De")
<\/p>\n<\/p>\n
Alors que le d\u00e9mant\u00e8lement d\u2019une partie du r\u00e9seau malveillant Emotet semblait de bon augure pour le monde de la cybers\u00e9curit\u00e9, son potentiel successeur, IceID, serait d\u00e9j\u00e0 bien install\u00e9. Un signe parmi d\u2019autres qu\u2019il n\u2019y aura pas d\u2019accalmie dans le paysage cyber en 2021 ?<\/strong><\/p>\n L\u2019actualit\u00e9 cyber pour 2021 est d\u00e9j\u00e0 bien riche et, apr\u00e8s l\u2019annonce d\u2019un plan de relance par le gouvernement fran\u00e7ais pour prot\u00e9ger davantage les entreprises contre les cyberattaques, les cybercriminels sont plus que jamais sur le pont. Quelles sont les nouveaut\u00e9s de cette ann\u00e9e en termes de cyber-menaces\u00a0? Quels \u00e9v\u00e9nements informatiques majeurs ont d\u00e9j\u00e0 marqu\u00e9 le d\u00e9but d\u2019ann\u00e9e\u00a0? Quels seront les diff\u00e9rents types de cyberattaques des mois \u00e0 venir\u00a0? Petit tour d\u2019horizon de ce que nous disent les premiers mois de 2021.<\/p>\n <\/p>\n En 2021, les cyber-attaquants surfent toujours sur la vague de la pand\u00e9mie<\/strong>. La continuit\u00e9 du travail \u00e0 distance, l\u2019isolement des collaborateurs et l\u2019actualit\u00e9 autour de la vaccination renforcent l\u2019int\u00e9r\u00eat des cyber-criminels pour le social engineering. \u00ab\u00a0Les escrocs utilisent le contexte sanitaire et social pour cr\u00e9dibiliser les e-mails qu\u2019ils envoient tout azimut. Les outils de chiffrement sont assez classiques mais les messages sont personnalis\u00e9s en utilisant les sujets de sant\u00e9, les outils de connexion au t\u00e9l\u00e9travail ou des annonces de livraison. Ces formulations soign\u00e9es permettent aux cyber-attaquants d\u2019amplifier l\u2019efficacit\u00e9 de leurs actions\u00a0\u00bb<\/em>, indique Nicolas Arpagian<\/strong>, Vice-Pr\u00e9sident en charge de la Strat\u00e9gie, des Affaires publiques et de la RSE d\u2019Orange Cyberdefense. Le rapport Phishing Attack Landscape Report<\/em><\/a> de 2020 explique que, l\u2019ann\u00e9e pass\u00e9e, la r\u00e9ussite des attaques par phishing a augment\u00e9 de 30%<\/strong>. Un cocktail d\u00e9tonnant qui semble plaire aux groupes cyber-malveillants qui capitalisent un maximum de donn\u00e9es sur leurs cibles, pour \u00eatre ensuite le plus impactant possible dans leurs attaques. La triste confirmation d\u2019une tendance cyber<\/a>, identifi\u00e9e pour cette ann\u00e9e.<\/p>\n Les escrocs utilisent le contexte sanitaire et social pour cr\u00e9dibiliser les e-mails qu\u2019ils envoient tout azimut<\/em><\/p>\n Ainsi, les cyber-criminels passent au crible les r\u00e9seaux sociaux et s\u2019attaquent aux comptes de messagerie afin de collecter un maximum d\u2019\u00e9l\u00e9ments sur leurs futures cibles. En g\u00e9n\u00e9ral des collaborateurs qui ont acc\u00e8s aux informations sensibles. \u00ab\u00a0S\u2019introduire au sein de la messagerie d\u2019un dirigeant par exemple, va permettre aux attaquants d\u2019obtenir de l\u2019information sensible sur l\u2019entreprise mais \u00e9galement de r\u00e9aliser des arnaques au Pr\u00e9sident ou des fraudes au virement\u00a0\u00bb<\/em> pr\u00e9cise Jean-Jacques Latour<\/strong>, Responsable de l\u2019expertise en cybers\u00e9curit\u00e9 de la plateforme Cybermalveillance.gouv.fr, et d\u2019ajouter\u00a0:\u00a0\u00ab\u00a0Ces arnaques sont \u00e0 la dixi\u00e8me place \u2013 sur 45 \u2013 des menaces que l\u2019on traite via la plateforme cybermalveillance.gouv.fr, et les cons\u00e9quences de ces modes op\u00e9ratoires peuvent \u00eatre affolantes\u00a0\u00bb<\/em>.<\/p>\n Affolantes comme pour le cabinet d\u2019expertise comptable CDER, qui, en f\u00e9vrier dernier a \u00e9t\u00e9 victime d\u2019une fraude au Pr\u00e9sident. Les cyber-criminels auraient pu acc\u00e9der notamment au compte de messagerie d\u2019un dirigeant, usurpant ainsi son identit\u00e9 pour ordonner un virement de pr\u00e8s de 15 millions d\u2019euros<\/a>. Op\u00e9ration r\u00e9ussie pour les cyber-attaquants qui ont saisi l\u2019opportunit\u00e9 des conditions de travail inhabituelles et \u00e0 distance du cabinet, pour s\u2019engouffrer dans la br\u00e8che.<\/p>\n <\/p>\n Depuis 2019, les attaques par ransomware connaissent (malheureusement) toujours un franc succ\u00e8s. Rien qu\u2019en 2020, plus de 1 000 organisations ont \u00e9t\u00e9 touch\u00e9es par un ransomware en France<\/strong> selon Cybermalveillance.gouv.fr. \u00ab\u00a0Les ransomwares ont pris tout leur essor en 2020, et les attaquants mettent une pression suppl\u00e9mentaire sur les organisations en touchant la corde sensible, \u00e0 savoir\u00a0: rendre publiques les donn\u00e9es\u00a0vol\u00e9es \u00bb<\/em>, analyse Jean-Jacques Latour.<\/p>\n Cette \u00e9volution dans le chantage \u00e0 la donn\u00e9e semble particuli\u00e8rement utilis\u00e9e contre le monde de la sant\u00e9. Aux Etats-Unis par exemple, en f\u00e9vrier dernier des attaquants ont publi\u00e9 des milliers de donn\u00e9es de patients sur le dark web<\/a>. Ces donn\u00e9es appartenaient \u00e0 deux h\u00f4pitaux du pays, tous deux victimes d\u2019un ransomware. C\u00f4t\u00e9 fran\u00e7ais, c\u2019est l\u2019entreprise de biotech Yposkesi qui aurait \u00e9t\u00e9 victime du m\u00eame mode op\u00e9ratoire<\/a>. L\u2019entreprise aurait \u00e9t\u00e9 cibl\u00e9e par le ransomware Babuk. R\u00e9sultats\u00a0: une partie du SI a \u00e9t\u00e9 chiffr\u00e9e et les donn\u00e9es vol\u00e9es ont \u00e9t\u00e9 publi\u00e9es sur le dark web. Cette tendance n\u2019a pas de fronti\u00e8res et de nombreux pays voient leurs syst\u00e8mes de sant\u00e9 et leurs institutions m\u00e9dicales fragilis\u00e9es par ces attaques. Dax, Villefranche et Oloron Sainte-Marie<\/a> en France, le Newberry County Memorial Hospital et le Rehoboth McKinley Christian Health Care aux \u00c9tats-Unis, ou encore la clinique Urologique Munich Planegg<\/a> en Allemagne font partie d\u2019une (trop) longue liste des h\u00f4pitaux d\u00e9j\u00e0 victimes de ransomwares en 2021. En fin d\u2019ann\u00e9e derni\u00e8re, par les voix du FBI et de l\u2019Agence nationale de s\u00e9curit\u00e9 notamment, les \u00c9tats-Unis \u00e9mettaient un rapport<\/a> sur l\u2019inqui\u00e9tante recrudescence des attaques par ransomware contre le monde de la sant\u00e9, qui aurait co\u00fbt\u00e9 au pays 21 milliards de dollars<\/a> en 2020. En France, C\u00e9dric O<\/strong>, le Secr\u00e9taire d\u2019\u00c9tat charg\u00e9 de la Transition num\u00e9rique comptait r\u00e9cemment les points pour l\u2019Hexagone\u00a0: \u00ab\u00a027 attaques majeures en 2020 et une par semaine en 2021\u00a0\u00bb.<\/p>\n Les attaquants mettent une pression suppl\u00e9mentaire sur les organisations en touchant la corde sensible, \u00e0 savoir : rendre publiques les donn\u00e9es vol\u00e9es<\/em><\/p>\n La question de la cybers\u00e9curit\u00e9 des \u00e9tablissements de sant\u00e9 est un sujet complexe, mis sur le devant de la sc\u00e8ne par la crise sanitaire. Certains \u00e9tablissements souffrent d\u2019\u00eatre sous-\u00e9quip\u00e9s en mat\u00e9riel informatique, quand d\u2019autres accusent un retard de maturit\u00e9 sur les questions cyber. Et face \u00e0 des structures qui refusent d\u2019obtemp\u00e9rer et de payer la ran\u00e7on, les attaquants vont jusqu\u2019\u00e0 s\u2019en prendre directement aux patients<\/strong>. Comme en Finlande, o\u00f9 des patients de la soci\u00e9t\u00e9 Vastaamo \u2013 qui g\u00e8re des centres de psychoth\u00e9rapie et victime d\u2019un ransomware d\u2019un ransomware en 2018 \u2013, ont \u00e9t\u00e9 menac\u00e9s par les pirates deux ans apr\u00e8s l\u2019attaque<\/a>. Car les donn\u00e9es peuvent \u00eatre multiples au sein d\u2019un \u00e9tablissement hospitalier, comme l\u2019explique Borja Perez<\/strong>, Country Manager chez Stormshield Iberia\u00a0: \u00ab\u00a0Les attaques contre le monde de la sant\u00e9 ont lieu \u00e9galement pour du vol de donn\u00e9es\u00a0: celles des patients, celles li\u00e9es aux brevets, et celles relatives \u00e0 la recherche scientifique\u00a0\u00bb<\/em>. Il y a en plus les donn\u00e9es li\u00e9es aux collaborateurs de ces \u00e9tablissements, les informations sur le fonctionnement des services, des donn\u00e9es strat\u00e9giques\u2026 Autant d\u2019\u00e9l\u00e9ments sensibles qui s\u2019ajoutent \u00e0 la pression subie par les h\u00f4pitaux notamment, qui se doivent de rester op\u00e9rationnels en permanence, le moindre arr\u00eat d\u2019activit\u00e9 pouvant avoir des cons\u00e9quences sur la sant\u00e9 des patients et entra\u00eener la mise en danger de vies humaines.<\/p>\n Outre le monde de la sant\u00e9, c\u2019est tout le secteur public qui est en proie aux ransomwares. S\u2019il n\u2019y a pour l\u2019instant pas de nouveaut\u00e9s notables dans les modes op\u00e9ratoires, l\u2019infection ou la propagation des ransomwares, c\u2019est la fr\u00e9quence des attaques de ce type qui interpelle. En fin d\u2019ann\u00e9e derni\u00e8re, les agglom\u00e9rations de La Rochelle et d\u2019Annecy<\/a> se retrouvaient en partie paralys\u00e9es par un ransomware. M\u00eame sort pour les communes de Vincennes et Alfortville<\/a>, dont les attaques ont endommag\u00e9 une partie des services administratifs. En ce d\u00e9but d\u2019ann\u00e9e 2021, ce sont les mairies des villes de Houilles (dont le co\u00fbt vient d\u2019\u00eatre estim\u00e9 \u00e0 350\u00a0000\u20ac<\/a>), d\u2019Angers<\/a> ou encore de Douai qui ont \u00e9t\u00e9 vis\u00e9es. Les collectivit\u00e9s fran\u00e7aises sont donc aussi victimes de cybermalveillance<\/a> et n\u2019\u00e9chappent pas \u00e0 la menace que repr\u00e9sentent les ransomwares. En Espagne, le SEPE \u2013 Servicio Publico de Empleo Estatal (agence gouvernementale pour l\u2019emploi), a tout r\u00e9cemment \u00e9t\u00e9 frapp\u00e9 lui aussi. Les 710 antennes du SEPE ont \u00e9t\u00e9 paralys\u00e9s par le ransomware Ryuk<\/a>, obligeant le personnel a \u00ab\u00a0travailler avec des feuilles de papier et des stylos durant plusieurs jours\u00a0\u00bb<\/em>, d\u00e9taille Borja Perez.<\/p>\n <\/p>\n Pour les \u00e9diteurs de logiciels IT, une menace \u00e0 la SolarWinds p\u00e8se toujours. En 2021, les attaques de type supply chain n\u2019ont rien d\u2019un \u00e9piph\u00e9nom\u00e8ne, et une tendance vers la suite de SolarWinds semble trac\u00e9e<\/a>. Attaquer de grands \u00e9diteurs IT (comme Mimecast, Codecov<\/a> ou Qualys) en exploitant des vuln\u00e9rabilit\u00e9s gr\u00e2ce \u00e0 des malwares de plus en plus sophistiqu\u00e9s, tels que Sunburst,\u00a0est un mode op\u00e9ratoire qui a la faveur des cyber-criminels. Ces cyberattaques diffusent une ins\u00e9curit\u00e9 en cascade et g\u00e9n\u00e8rent une force de frappe tr\u00e8s grande. \u00ab\u00a0Ce sont des cyberattaques avec un haut niveau de technicit\u00e9 qui permettent de frapper simultan\u00e9ment des organisations de toute taille, n\u2019importe o\u00f9 dans le monde. Cela fragilise la s\u00e9curit\u00e9 par capillarit\u00e9\u00a0: les d\u00e9tenteurs de ces outils se trouvent de facto fragilis\u00e9s et cela contribue \u00e0 infecter des pans entiers de l\u2019\u00e9conomie ou de l\u2019administration \u00bb<\/em>, alerte Nicolas Arpagian<\/p>\n Ce type d\u2019incident incite \u00e0 rester humble face au risque cyber car il met concr\u00e8tement en lumi\u00e8re le fait que personne n\u2019est \u00e0 l\u2019abri, ni m\u00eame ne doit se penser \u00e0 l\u2019abri<\/em><\/p>\n \u00ab\u00a0D\u00e8s 2020, il y avait une vraie explosion de ce type d\u2019attaques<\/em>, explique Davide Pala<\/strong>, Pre-Sales chez Stormshield Italy. Ce qui sous-entend que les groupes d\u2019attaquants ont du temps, des ressources et sont bien organis\u00e9s pour arriver \u00e0 leurs fins\u00a0\u00bb<\/em>. Vraie \u00e9volution en revanche, les attaques ciblant les \u00e9diteurs de cybers\u00e9curit\u00e9. En 2020, Stormshield a ainsi \u00e9t\u00e9 victime \u00e0 son tour d\u2019une intrusion dans ses r\u00e9seaux. Un incident de s\u00e9curit\u00e9 qui a permis un acc\u00e8s non-autoris\u00e9 \u00e0 un portail technique, utilis\u00e9 notamment pour la gestion des tickets de support produits. \u00ab Ce type d\u2019incident incite \u00e0 rester humble face au risque cyber car il met concr\u00e8tement en lumi\u00e8re le fait que personne n\u2019est \u00e0 l\u2019abri, ni m\u00eame ne doit se penser \u00e0 l\u2019abri<\/em>, explique Pierre-Yves Hentzen<\/strong>, Pr\u00e9sident de Stormshield. Positivement, il nous a permis d\u2019\u00e9prouver notre capacit\u00e9 de r\u00e9action et notre r\u00e9silience, ainsi que de constater les vertus d\u2019adopter une communication transparente \u2013 la transparence cr\u00e9ant la confiance. Un incident de ce type, aujourd\u2019hui r\u00e9solu, rend plus fort dans beaucoup de domaines. Pour autant, je ne le souhaite \u00e0 personne\u00a0pour ce b\u00e9n\u00e9fice.<\/em> \u00bb<\/p>\n Mais la menace peut prendre une forme encore plus inqui\u00e9tante, quand les produits de s\u00e9curit\u00e9 eux-m\u00eames sont attaqu\u00e9s\u2026<\/p>\n <\/p>\n \u00ab\u00a0C\u2019est une nouvelle tendance et une \u00e9volution logique des cyberattaques\u00a0: comme les solutions de s\u00e9curit\u00e9 ont des privil\u00e8ges \u00e9lev\u00e9s et sont plac\u00e9es de mani\u00e8re strat\u00e9gique dans les syst\u00e8mes d\u2019information, il faut les attaquer\u00a0\u00bb<\/em>, indique Adrien Brochot<\/strong>, Product Manager chez Stormshield. Et d\u2019ajouter\u00a0: \u00ab\u00a0le principe d\u2019un malware est de ne pas \u00eatre d\u00e9tect\u00e9 par un syst\u00e8me pour pouvoir se diffuser. D\u00e9sactiver voire compromettre les solutions de s\u00e9curit\u00e9 est un bon moyen d\u2019y parvenir\u00a0\u00bb<\/em>. En effet, les cyber-criminels l\u2019ont bien compris, en mettant la main sur les produits de s\u00e9curit\u00e9, ils mettent la main sur une partie des SI des organisations que ces m\u00eames produits prot\u00e8gent.<\/p>\n Le principe d\u2019un malware est de ne pas \u00eatre d\u00e9tect\u00e9 par un syst\u00e8me pour pouvoir se diffuser. D\u00e9sactiver les solutions de s\u00e9curit\u00e9 est un bon moyen d\u2019y parvenir<\/em><\/p>\n Les pr\u00e9mices de cette tendance sont arriv\u00e9s d\u00e8s 2019-2020, avec l\u2019exemple de Mitsubishi<\/a> notamment. Les attaquants avaient alors exploit\u00e9 une vuln\u00e9rabilit\u00e9 pr\u00e9sente dans une solution de l\u2019entreprise Trend Micro, utilis\u00e9e par la firme japonaise, compromettant ainsi une partie de son SI et entra\u00eenant des fuites de donn\u00e9es appartenant \u00e0 des partenaires de l\u2019entreprise. Avec ce mode op\u00e9ratoire, les attaquants retournent le dispositif de protection contre une organisation et trouvent ainsi des points d\u2019entr\u00e9e. Cette tendance oblige d\u00e9sormais les \u00e9diteurs de cybers\u00e9curit\u00e9 \u00e0 d\u00e9velopper des protections encore plus robustes de leurs produits<\/strong>\u00a0: durcissement de firmwares, solutions logicielles renforc\u00e9es, alignement avec des r\u00e9f\u00e9rentiels de s\u00e9curit\u00e9 contraignants\u2026 \u00ab\u00a0La protection renforc\u00e9e des produits de s\u00e9curit\u00e9 est de la responsabilit\u00e9 des \u00e9diteurs, mais c\u2019est un travail complexe car derri\u00e8re chaque produit de s\u00e9curit\u00e9, il y a une architecture compl\u00e8te dont il faut tenir compte\u00a0\u00bb<\/em>, explique Adrien Brochot. Sans compter les imp\u00e9ratifs technologiques et organisationnels associ\u00e9s, comme la rigueur dans la production et la revue de code pour limiter les bugs qui pourraient ensuite \u00eatre exploit\u00e9s \u00e0 des fins malveillantes\u00a0; la gestion continue des vuln\u00e9rabilit\u00e9s et de leurs correctifs\u00a0; ou encore les audits de code r\u00e9alis\u00e9s par les autorit\u00e9s comp\u00e9tentes. Mais les \u00e9diteurs doivent \u00e9galement contr\u00f4ler leur propre int\u00e9grit\u00e9, leurs propres ressources, jusqu\u2019\u00e0 la robustesse de leur SI. Si les acteurs de la cybers\u00e9curit\u00e9 ont toujours \u00e9t\u00e9 questionn\u00e9s quant \u00e0 la s\u00e9curit\u00e9 de leurs produits, ils devront mettre les bouch\u00e9es doubles en mati\u00e8re de protection en 2021.<\/p>\n D\u2019autant plus qu\u2019en parall\u00e8le, une autre forme de cyber-menace \u00e9merge. Visant les \u00e9diteurs de s\u00e9curit\u00e9, les soci\u00e9t\u00e9s de conseil ou encore les chercheurs, elle consiste ni plus ni moins \u00e0 cr\u00e9er de fausses entreprises de cybers\u00e9curit\u00e9, pour pi\u00e9ger des experts du secteur. Exemple r\u00e9cent en Cor\u00e9e du Nord, o\u00f9 un groupe d\u2019attaquants aurait cr\u00e9\u00e9 SecuriElite<\/a>, une fausse entreprise de cybers\u00e9curit\u00e9. Attaquer les \u00e9diteurs de cybers\u00e9curit\u00e9 serait donc une tendance naissante mais d\u00e9j\u00e0 polymorphe.<\/p>\n <\/p>\n Ce n\u2019est pas un, mais cinq portraits-robots qu\u2019il faut avoir \u00e0 l\u2019esprit pour 2021. Car si d\u2019une mani\u00e8re g\u00e9n\u00e9rale, toute la cha\u00eene d\u2019une organisation peut pr\u00e9senter des vuln\u00e9rabilit\u00e9s techniques ou fonctionnelles, certains profils de collaborateurs m\u00e9ritent n\u00e9anmoins une attention particuli\u00e8re.<\/p>\n En droite ligne avec la tendance des attaques contre les \u00e9diteurs de cybers\u00e9curit\u00e9, les populations techniques \u2013 sp\u00e9cialistes cyber, d\u00e9veloppeurs, chercheurs en cybers\u00e9curit\u00e9 \u2013 sont \u00e0 risque et particuli\u00e8rement expos\u00e9es au social engineering sur les r\u00e9seaux sociaux<\/strong> ou \u00e0 l\u2019usurpation d\u2019identit\u00e9. Pour les attaquants, il s\u2019agit de pouvoir soutirer des informations techniques cl\u00e9s pour ensuite attaquer les produits de s\u00e9curit\u00e9. Toujours dans la m\u00eame lign\u00e9e, les prestataires, de par la vari\u00e9t\u00e9 de leurs clients finaux, sont aussi un \u00e9l\u00e9ment cl\u00e9 et ne peuvent plus \u00eatre ignor\u00e9s dans la r\u00e9flexion de la s\u00e9curisation des entreprises<\/strong> pour lutter, entre autres, contre les attaques de type supply chain. Les populations IT et les responsables informatiques sont \u00e9galement une cible de choix puisqu\u2019ils op\u00e8rent ou administrent les infrastructures et disposent souvent de privil\u00e8ges \u00e9lev\u00e9s sur les SI des organisations.<\/p>\nLe contexte sanitaire profite toujours au social engineering<\/h2>\n
Nicolas Arpagian<\/strong>, Vice-Pr\u00e9sident en charge de la Strat\u00e9gie, des Affaires publiques et de la RSE, Orange Cyberdefense<\/pre>\n<\/blockquote>\n
Les ransomwares au rendez-vous\u00a0: la sant\u00e9 et les administrations particuli\u00e8rement touch\u00e9es<\/h2>\n
Jean-Jacques Latour<\/strong>, Responsable de l\u2019expertise en cybers\u00e9curit\u00e9 de la plateforme Cybermalveillance.gouv.fr<\/pre>\n<\/blockquote>\n
Une cyber-menace qui se renforce contre les \u00e9diteurs<\/h2>\n
Pierre-Yves Hentzen<\/strong>, Pr\u00e9sident de Stormshield<\/pre>\n<\/blockquote>\n
Les produits de s\u00e9curit\u00e9 mis \u00e0 mal par les attaquants<\/h2>\n
Adrien Brochot<\/strong>, Product Manager Stormshield<\/pre>\n<\/blockquote>\n
Portrait-robot du collaborateur cible id\u00e9al<\/h2>\n