L’Anssi a traité 4386 événements en 2024, un pic observé pendant les JO

1361 : c’est le nombre d’incidents de sécurité portés à la connaissance de l’Agence nationale de la sécurité des systèmes d’information (Anssi) en 2024. En cumulant les signalements (plus de 3000), 4386 événements ont été au total traités par l’autorité l’année dernière, en hausse de 15% sur un an. Ces chiffres sont issus du panorama annuel de la cybermenace de l’Anssipublié ce 11 mars.

Des cybercriminels qui profitent de l’exposition médiatique des JOP

L’agence définit comme “incident de sécurité«  tout événement où elle est “en mesure de confirmer qu’un acteur malveillant a conduit des actions avec succès sur le système d’information de la victime”. Ces incidents, qui ont eu lieu à 42% en Île-de-Franceont surtout été observés en juillet (plus de 400) et août, période sur laquelle se déroulaient les Jeux olympiques et paralympiques (Jop). “Malgré une intensité élevée, aucune attaque informatique n’a perturbé le bon déroulement des JOP 2024explique l’Anssi. Comme attendu, des tentatives de déstabilisation, de l’espionnage et des attaques à but lucratif ont été observés.”

L’Anssi note que ces opérations de déstabilisation ont surtout été menées par des groupes de menace pro-russes et pro-palestiniens, dont plusieurs affiliés à un État. Leurs objectifs principaux étaient de conduire des attaques par déni de service (DDoS) et de revendiquer des exfiltrations de données. Ces acteurs semblent avoir profité de l’importante exposition médiatique des JOP pour mettre en avant leurs opérations, “sans que cela ne corresponde à des incidents significatifs”.

Des opérations de déstabilisation liées aux JOP menées à l’étranger

C’est le cas du groupe “LulzSec Muslims”, qui a revendiqué fin juillet détenir des données appartenant au Comité national et olympique sportif français (CNOSF). Une autre action a été pilotée d’après le FBI par l’entreprise iranienne “Emennet Pasargad”, pour le compte des Corps des gardiens de la révolution islamique. L’objectif était de détourner des bornes d’affichage publicitaire en y incrustant des photomontages dénonçant la participation d’athlètes israéliens. L’opération a été contrée avant qu’elle ne se produise.

Des attaques de déstabilisation liées aux JOP ont aussi été conduites à l’étranger, notamment en Pologneoù les données de l’agence antidopage nationale ont été exfiltrées par le groupe de pirates “Ghostwriter”. Les données ont ensuite été divulguées par deux groupes pro-russes, Beregini et Zarya. “Cette revendication visait à dénoncer la lutte contre le dopage comme un chantage à l’encontre des pays qui mènent une politique opposée à celle des États-Unis« note l’Anssi.

Un doublement des attaques DDoS

Sur toute l’année, les attaques à des fins de déstabilisation ont été “particulièrement nombreuses”. Le service met notamment en avant le ciblage de petites installations industriellesdont l’interface de gestion était exposée sur Internet sans mécanismes d’authentification sophistiqués. “L’action la plus aboutie a mené à l’arrêt pendant quelques heures d’un parc éolien, entraînant pour la victime une perte financière de quelques milliers d’euros”note le rapport.

Les attaques par déni de service (DDoS) ont doublé par rapport à 2023. Certaines d’entre elles ont eu des “impacts significatifs”, comme l’attaque contre le Réseau interministériel de l’État (RIE), en mars dernierqui a perturbé l’activité de certains ministères. L’Anssi montre également un ciblage important des acteurs télécoms, tel Ovhvictime d’une attaque de “très haute intensité”. Concernant les opérations de sabotage, l’agence “n’a pas traité d’incident (…) par un acteur avancé” En 2024.

Les établissements d’enseignement supérieur 2 fois plus touchés par des ransomwares

144 attaques par ransomwares ont été portées à la connaissance de l’Anssi l’année dernière, à un niveau similaire par rapport à 2023 (143), avec deux pics en mai et en octobre. “L’écosystème s’est renforcé afin d’assurer la réponse à ce type d’attaquesest-il écrit dans le rapport, ce qui permet à l’Agence de concentrer son implication sur celles ayant les impacts les plus importants ou présentant des risques politiques.”

Les TPE, PME et ETI restent les entités françaises les plus touchées par des attaques par ransomware (37% des cas, 34% en 2023). La proportion de collectivités territoriales à être affectées par un ransomware a néanmoins diminué (17% vs. 24% en 2023), tout comme celle des établissements de santé (4% vs. 10% en 2023). À l’inverse, les attaques contre les établissements d’enseignement supérieur représentent 12% du nombre total de compromissions de ce type, contre 5% en 2023.

C’est par exemple le cas de l’attaque contre l’Université Paris-Saclayayant eu lieu pendant la période des JO et provoqué “l’indisponibilité de nombreuses applications métier durant la période d’inscription étudiante et au cours des mois suivant la rentrée”. Avec 21 incidents signalés, LockBit3.0/LockBit Black figure à la première place des souches de ransomware, suivie par Akira et RansomHub (10 incidents chacun).

Les opérations d’espionnage restent intenses

L’autorité de cybersécurité note que les opérations d’espionnage liées aux JOP “ne représentaient pas de menace pour la bonne tenue des épreuves sportives dans la mesure où elles ne portaient atteinte ni à la disponibilité ni à l’intégrité des systèmes et des données”. Il s’agit néanmoins des attaques ayant le plus mobilisé les équipes de l’Anssi sur toute l’année 2024. L’agence évoque notamment l’emploi de plusieurs modes opératoires d’attaque réputés liés aux intérêts stratégiques russes, avec des groupes de pirates ciblant l’Ukraine et les pays de l’OTAN.

“L’activité associée aux modes opératoires réputés chinois a été particulièrement dense et documentée au cours de l’année”ajoute l’Anssi. Cette dernière pointe également un ciblage intense d’opérateurs télécoms, précisant avoir “traité des compromissions importantes de systèmes d’information d’opérateurs de ce secteur” en France.

Sélectionné pour vous