Cybersécurité : l’année 2020 vue par l’ANSSI, avec deux fois plus d’« incidents »

Cybersécurité : l’année 2020 vue par l’ANSSI, avec deux fois plus d’« incidents »

« Keep Calm and Carry On! »

Avatar de l'auteur
Sébastien Gavois

Publié dans

Internet

10/06/2021 8 minutes
10

Cybersécurité : l’année 2020 vue par l’ANSSI, avec deux fois plus d’« incidents »

En 2020, l’ANSSI n’a pas chômé avec des cyberattaques toujours plus nombreuses (notamment avec les rançongiciels), preuve en est avec le nombre d’incidents qui a quasiment doublé par rapport à 2019. L’Agence dresse le bilan de ses actions sur l’année écoulée, avec les yeux déjà tournés vers 2022 et l’Europe.

L’Agence nationale de la sécurité des systèmes d'information (ANSSI) publie aujourd’hui son rapport d’activité pour l’année 2020. Nul besoin de le préciser, mais elle était très particulière avec la pandémie de Covid-19 qui a entrainé des bouleversements importants aussi bien dans notre vie « physique » que numérique.

La crise sanitaire nous a conduits à « renouveler nos habitudes de travail », explique Guillaume Poupard dans son édito. En conséquence, « l’activité "cyber" n’a pas faibli, bien au contraire », ajoute-t-il. 2020 a été marqué par de nombreuses cyberattaques, notamment en direction des hôpitaux.

Moins d’agents ? C’est « un effet d’optique » explique Poupard

Fin 2020, l’ANSSI comptait 548 agents, dont 105 nouvelles recrues, pour mener à bien ses missions. Des chiffres en baisse sur un an puisqu’il y avait 610 agents fin 2019 (avec 118 nouvelles recrues) et même 568 agents fin 2018. L’âge moyen de son personnel est de 37 ans, un chiffre qui ne change quasiment pas depuis quelques années.

Durant la conférence de presse, Guillaume Poupard nous explique que cette baisse est « un effet d’optique ». Au sein de l’ANSSI, il y avait une sous-direction – d’une centaine de personnes – qui s’occupait notamment des communications de niveau classifié. « Le choix a été fait de les fusionner avec une autre entité du SGDSN », ajoute le patron de l’Agence en précisant qu’on ne lui a pas forcé la main

« On va créer un nouvel opérateur à côté de l’ANSSI qui s’appelle l’Opérateur des systèmes d’information interministériels classifiés (OSIIC) qui a mécaniquement retiré 100 agents à l’ANSSI […] En pratique c’est bien une croissance de 50 agents » et d’un point de vue des moyens c’est plutôt positif pour Guillaume Poupard.

Sur l’année 2020, l’Agence disposait d’un budget de 21 millions d’euros pour son fonctionnement, hors masse salariale.

L’année 2020 passée était placée sous le signe de l’ouverture, avec de nombreuses annonces allant en ce sens. En janvier 2020, l’Agence publiait ainsi son manifeste (d’une quarantaine de pages) pour les dix prochaines années, avec neuf axes d’orientations stratégiques.

Elle y indique vouloir jouer pleinement son « rôle d’éclaireur des transformations numériques », renforcer son efficacité opérationnelle, se mettre davantage au service de la formation en cybersécurité, développer des synergies opérationnelles, renforcer son engagement européen, etc.

En juillet, c’était la création de l’Opérateur des systèmes d’information interministériels classifiés (OSIIC) au sein du Secrétariat général de la défense et de la sécurité nationale (SGDSN). Son but est de « développer et de mettre en œuvre les moyens de communication sécurisés ; de concevoir et de déployer les systèmes d’information classifiés interministériels ».

Dans l’objectif d’une plus grande ouverture, elle publiait ses « Papiers numériques », dans lesquels il était notamment question du nouveau Campus Cyber. Elle préparait aussi l’ouverture de son antenne à Rennes, prévue à partir de septembre de cette année avec 200 personnes à terme. L’ANSSI a aussi lancé sa plateforme talents.ssi.gouv.fr dédiée au recrutement en juin 2020.

Des participations dans StopCovid et le plan France Relance

Dès le début de la pandémie, l’ANSSI a participé à la sécurisation des systèmes d’information de gestion de crise, notamment dans le cadre de l’application StopCovid, devenue par la suite TousAntiCovid. L’Agence a aussi en charge le pilotage du volet cybersécurité de 136 millions d’euros du plan France Relance.

Elle s’implique aussi au niveau européen où elle apportera son expertise sur des travaux de la Commission européenne afin de « proposer un règlement visant à renforcer la cybersécurité des institutions » sur le vieux continent.

Des signalements stables, le nombre d’incidents double

Un gros morceau du rapport concerne la défense et la réaction face aux menaces cyber. Si elles sont toujours plus nombreuses, elles ne sont pas spécialement surprenantes pour autant : « Les tendances observées en 2019 se sont confirmées en 2020 ».

En tout, 2 287 signalements et 759 incidents ont été adressés à l’ANSSI, soit une moyenne de deux par jour tout de même. Dans le lot, il y en a sept qui sont considérés comme « majeurs », sans plus de précisions. En 2019, il y avait eu 2 296 signalements, mais « seulement » 370 incidents dont neuf classés comme « majeurs ».

Enfin, 20 opérations de défenses se sont déroulées, contre 16 un an auparavant.

Arrivée des indicateurs de compromission

Dans la longue liste des cybermenaces, le rançongiciel a le vent en poupe : le nombre de signalements a été multiplié par quatre. Si aucun secteur n’est épargné, les victimes sont principalement des collectivités territoriales, des établissements de santé et des entreprises du secteur de l’industrie. Selon l’ANSSI, il n’y aurait qu’une petite poignée de groupe et chacun ne comporterait pas des centaines de membres.

Face à cette vague, le premier indicateur de compromission était mis en ligne début 2020 après l’attaque par le rançongiciel Maze sur le groupe Bouygues Construction. Il s’agit d’informations – « qualifiées ou non par l'ANSSI » – et partagées publiquement à des fins de prévention. Ces marqueurs techniques « peuvent être utilisés à des fins de détection et de blocage de cette menace ».

Cinq indicateurs de compromission ont été mis en ligne en 2020, et pour le moment trois cette année. Le dernier date de février et concerne les attaques « ciblant le logiciel de supervision Centreon ».

« Des dispositifs de détection système »

« Les menaces stratégiques, l’espionnage et les attaques par chaîne d’approvisionnement constituent également les
phénomènes les plus observés durant l’année écoulée », explique l’Agence. Afin de limiter les dégâts, « l’année 2020 a été marquée par l’émergence des dispositifs de détection système, qui viennent compléter les moyens de détection existants. Ces nouveaux dispositifs ont notamment montré leur plus-value dans le cadre d’opérations de réponse à incident en permettant de suivre les actions de l’attaquant et de vérifier l’efficacité des mesures ».

En septembre s’est déroulée la seconde édition de l'exercice Blue OLEx (Blue Blueprint Operational Level Exercise). Son but était de « renforcer la coordination entre les acteurs de la cybersécurité en Europe », avec notamment la création officielle du réseau CyCLONe (Cyber Crisis Liaison Organisation Network) « pour la préparation et la gestion des crises cyber par les États membres ».

SecNumedu(-FC), SecNumacadémie et Cybermoi/s

Enfin le dernier point mis en avant concerne l’éducation au sens large. 64 formations labellisées SecNumedu (57 en 2019) – un programme visant à labelliser des formations supérieures en sécurité du numérique – se sont déroulées en 2020 et 76 SecNumedu-FC, avec FC pour Formation Continue. Selon l’Agence, « ces deux labels connaissent un succès croissant. En 2020, 29 formations supplémentaires ont été labellisées ».

Elle rappelle au passage qu’elle dispose d’un programme en ligne de sensibilisation à la sécurité du numérique qui s’adresse à tous : SecNumacadémie. Du changement se prépare : « La plateforme du MOOC SecNumacadémie va évoluer dans les mois à venir. Aussi, nous vous recommandons de terminer tous vos modules en cours et de télécharger votre attestation de réussite avant le 30 juin 2021 ».

L’ANSSI annonce avoir enregistré « 45 000 visites sur le site Internet du Cybermoi/s durant le mois d’octobre 2020 ».  Il s’agit pour rappel de la version française du Mois européen de la cybersécurité. L’année dernière, le site a fait peau neuve.

Se préparer pour des enjeux européens début 2022

Guillaume Poupard a déjà les yeux tournés vers l’avenir, plus précisément le premier semestre 2022 quand la France présidera le Conseil de l’Union européenne. Pendant six mois, l’hexagone en profitera pour essayer de pousser plusieurs sujets. Des députés veulent par exemple en profiter pour essayer d’unifier l’Europe « contre » les géants du Net (nous y reviendrons dans une prochaine actualité).

De son côté, l’ANSSI « est déjà pleinement mobilisée pour contribuer à la réussite de cette présidence ainsi qu’aux échéances qui permettront le développement de la sécurité et de la confiance numériques de notre pays dans les années à venir ».

10

Écrit par Sébastien Gavois

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Moins d’agents ? C’est « un effet d’optique » explique Poupard

Des participations dans StopCovid et le plan France Relance

Des signalements stables, le nombre d’incidents double

Arrivée des indicateurs de compromission

« Des dispositifs de détection système »

SecNumedu(-FC), SecNumacadémie et Cybermoi/s

Se préparer pour des enjeux européens début 2022

Commentaires (10)


shut up and calculate



C’est plus clair, non ?


Durant la conférence de presse, Guillaume Poupard nous explique que la baisse des agents est un « effet d’optique » car une sous-division a pris son indépendance. L’actualité a été mise à jour.


Ça me paraît très faible comme indicateurs. Dans les évènements qui ont bien voulus être partagés avec l’ANSSI alors, c’est relatif. Sans parler des entreprises qui payent, sans choix certes, mais font perdurer ce business.


Déjà côté chiffres, il y a beaucoup plus de victimes qui ne déclarent pas les sinistres, parce que pas le temps et pas l’envie de bloquer son S.I. pour une enquête. Il est vrai que le temps des entreprises n’est pas celui des fonctionnaires…
Et je vais prendre un exemple pour expliquer en quoi l’ANSSI ne sert à rien : les recommandations qu’elle fait pour Firefox vous oblige à lire un document de X pages, à passer des heures à implémenter ces réglages dans un fichier JS puis à tester le tout. Comme si l’ANSSI, avec 21 millions d’€ et 600 personnes, ne pouvait pas fournir un simple modèle prêt à l’emploi !
Et le résultat est simple : pendant que les experts en sécurité font leurs petites orgies mentales à coup de réunionite aiguë et de masochisme numérique mutuel, les boîtes et collectivités se débrouillent comme elles peuvent pour ramasser les pots cassés, notamment côté ransomware.
Personne ne leur explique qu’un simple serveur de BACKUP dédié et indépendant, sous GNU/Linux, permet de retrouver les fichiers vérolés/cryptés en un temps record, et de remettre le SI à flot en quelques heures… Idem avec le windows server überalles : l’état continue d’encourager les GAFAM, au lieu de mettre à disposition des administrateurs quelques scripts et outils de base pour générer les fichiers SAMBA en AD, et gérer ensuite son SI de manière efficace, loin de microsoft. Et comme les revendeurs sont soumis aux GAFAM de fait, on continue logiquement dans la dépendance aux USA, et le pillage généralisé de nos données !
Vous aurez compris le problème : l’ANSSI ne produit rien pour les entreprises et les collectivités. Alors elle sert à quoi sur le terrain ? Donner des leçons ? Faire la lecture ? Racontez des histoires ? Personne n’en à rien à foutre ! On veut du concret, du palpable, de l’utilisable, de l’efficace ! C’est cela qu’on attend d’un état souverain, et non une usine à norme totalement inutile de type UE.


Encore faut-il que le serveur de backup ne soit pas accessible en écriture…


Y a qu’a faut qu’on….



Nous on a été touché par un ransomware au mois de mars au niveau des serveurs on avait des sauvegardes sur NAS Synology donc on a pu restaurer les données en quelques heures. Le ransomware n’a pas réussi a exfiltrer des données. Quelques postes ont aussi été touchés vu qu’il y en a qui avaient des documents de travail et que la direction n’avait jamais voulue pour des questions de cout mettre en place une sauvegarde de postes. Les disques dur/SSD des postes ont été passé au crible avec des logiciels de récupération de données mais on a récupéré peu de choses.


Dernier en date pour 2021 : EA s’est fait pomper 780Go de données, dont le code source de FIFA 2021



spidermoon a dit:


Dernier en date pour 2021 : EA s’est fait pomper 780Go de données, dont le code source de FIFA 2021




Tu aurais même pu dire des 10 prochains FIFA :D



tiret a dit:


Encore faut-il que le serveur de backup ne soit pas accessible en écriture…




Et que les sauvegardes soient testées régulièrement, et que …



Il est marrant, Hansi, à dire “qu’il suffit que”. Une bonne part des organisations n’ont pas les compétences pour faire ce qu’il indique, ou pense l’avoir fait mais le jour J, bah patatras.



C’est pas à l’ANSSI de faire le boulot des DSI, non plus.



hansi a dit:


Comme si l’ANSSI, avec 21 millions d’€ et 600 personnes, ne pouvait pas fournir un simple modèle prêt à l’emploi !




Et tu serais le premier à hurler au terrorisme fascisto-intellectuel.



Un document prêt à l’emploi n’aurait absolument aucun intérêt car chaque entreprise est différente, chaque secteur d’activité n’a pas la criticité d’un OIV.