B. LES ÉVOLUTIONS RÉCENTES FONT APPARAÎTRE DE NOUVELLES TENDANCES
La première est l'accessibilité des outils d'attaque, en raison de leur prolifération sur Internet ( darkweb ), ce qui abaisse le coût de l'investissement de départ et rend, de fait, le nombre d'attaquants toujours plus important.
La deuxième est que les attaquants les plus expérimentés 153 ( * ) , notamment ceux qui sont sponsorisés directement ou indirectement par les États, ont compris que, si les grandes organisations se sécurisaient de mieux en mieux, il fallait toucher les maillons faibles et que ceux-ci se trouvaient dans l'écosystème, en particulier les sous-traitants pour l'espionnage économique ou encore des établissements plus vulnérables comme les systèmes de santé 154 ( * ) ou les collectivités territoriales 155 ( * ) qui doivent délivrer sans délais des services indispensables à la population pour les attaques par rançongiciels.
La troisième est la sophistication croissante des modes opératoires visant à dissimuler leur origine réelle et désorienter les capacités d'attribution des attaques.
Offuscation, dissimulation, sophistication des modes opératoires.
Sur le plan des menaces de nature stratégique, l'ANSSI se heurte aujourd'hui à de nouvelles stratégies de dissimulation adoptées par les acteurs offensifs. Dans les échanges avec ses partenaires nationaux et internationaux, comme dans l'observation directe des infrastructures d'attaques, elle constate par exemple :
- un effort, particulièrement de la part des modes opératoires supposés russes, de renouvellement, de diversification et de banalisation des infrastructures de commande et contrôle (C2) visant à les rendre encore moins détectables et caractérisables ;
- un partage d'infrastructures et de codes malveillants entre des modes opératoire supposés russes et d'autres plutôt liés à l'Iran.
À l'instar de la problématique posée par les modes opératoires russes, l'analyse de la menace des modes opératoires supposés chinois se confronte à d'importants efforts de dissimulation, afin de rendre hasardeuse toute stratégie d'attribution technique.
Enfin, les modes opératoires supposés chinois recourent souvent à une stratégie de compromission des chaînes d'approvisionnement de leurs cibles finales. Visant des prestataires de services numériques ou des bureaux d'études, ces attaques par rebond facilitent une pénétration discrète dans les réseaux de grands acteurs, réputés plus matures en matière de cybersécurité. La phase initiale de la compromission, souvent la plus sensible, se déroule donc généralement hors de portée des moyens d'investigation ou de détection étatiques qui s'appliquent préférentiellement aux réseaux des administrations centrales et des opérateurs d'importance vitale (OIV).
Enfin la dernière est la démystification de l'usage du cyber, que ce soit à des fins de sabotage ou de désinformation par des États qui l'assument comme une arme de déstabilisation ou de désorganisation massive à part entière 156 ( * ) .
Derrière ces tendances, il y a un changement de nature qui fait qu'aujourd'hui les États démocratiques réfléchissent à des changements de stratégie et d'organisation pour répondre à ces défis : le caractère massif de l'information, son instantanéité et les difficultés d'attribution ont mis les organisations face à une pression tout à fait nouvelle. Les stratégies tant française, qu'allemande ou britannique ont cherché à réévaluer cette menace et la façon d'y répondre.
* 153 Les groupes cybercriminels se sont structurés et disposent de moyens conséquents, aidés par la disponibilité croissante sur Internet de nombreux outils d'attaques. Les actions conduites par ces groupes sont grandement planifiées et construites comme de véritables opérations de renseignement (ingénierie sociale en amont, ciblage, choix du moment opportun pour déclencher la charge, en amont de publication de résultats financiers par exemple).
* 154 En France en 2019, 120 établissements du groupe privé Ramsay/Générale de Santé en août, les CHU de Montpellier (au printemps) et de Rouen (en novembre), en République Tchèque, l'hôpital de Brno en pleine crise sanitaire au printemps 2020
* 155 Exemple récent de l'agglomération de Marseille à la veille des élections municipales
* 156 Comme le montre, l'utilisation décomplexée des réseaux sociaux par les diplomates chinois pendant la crise sanitaire du printemps 2020 en contradiction avec les usages diplomatiques pour commenter en public et critiquer ouvertement, dans la langue des États où ils exercent et en manipulant subtilement informations vérifiées et fausses informations crées de toute pièce, les décisions prises par les autorités de ces États. La centralisation de l'administration chinoise et le fait que ces diplomates aient reçues une formation spécifique dans ce domaine montre bien qu'il ne s'agit pas d'initiatives relevant de la créativité personnelle mais d'une stratégie de communication mûrement réfléchie.