L'Office fédéral allemand de la sécurité des technologies de l'information (BSI) a récemment publié son rapport "Die Lage der IT-Sicherheit in Deutschland 2021". Ce rapport dresse un bilan de la situation de la sécurité informatique en Allemagne pour la période du 1er juin 2020 au 31 mai 2021. Le BSI met l'accent sur les attaques contre les entreprises, les institutions publiques et étatiques et les particuliers. Il souhaite également contribuer à la prévention et à la lutte contre ces situations.
Chaque année, le rapport du BSI reprend des exemples concrets de situations de sécurité et de cybermenaces dans différents domaines. Le BSI y explique les méthodes typiques des attaquants. En outre, le BSI veut expliquer quelles sont les mesures de protection appropriées.
La conclusion du rapport : La situation de la sécurité informatique en Allemagne est tendue, voire critique.
Cyber-extorsion : protection, rançon et silence
Les méthodes d'extorsion cybercriminelles se sont considérablement développées au cours de la période sous revue. Cela ne constitue pas en soi un développement particulièrement nouveau. Toutefois, la menace a récemment atteint un autre niveau. Les dommages qui peuvent en résulter sont énormes.
On a pu observer une campagne mondiale de cyber-extorqueurs qui, sous la menace d'attaques DDoS (Distributed Denial of Service), ont extorqué des fonds de protection à leurs victimes.
Parallèlement, ils ont notamment utilisé le logiciel malveillant Emotet pour lancer des attaques et extorquer ensuite une rançon à l'aide d'un logiciel de rançon qui crypte toutes les données.
Une extension de cette stratégie a également été observée. Les pirates ont parfois stocké illégalement les données avant de les crypter, afin d'extorquer de l'argent en menaçant de les rendre publiques. Cette méthode s'est avérée efficace lorsque la victime n'était pas intéressée par le paiement de la rançon pour le décryptage des données en raison de ses propres copies de sauvegarde. Si une attaque de ransomware a lieu, il faut donc partir du principe que les données ont été compromises.
Les attaques d'ingénierie sociale sont la plus grande porte d'entrée pour de telles attaques. Il s'agit d'inciter les gens à cliquer sur des liens malveillants ou à télécharger des pièces jointes qui installent le logiciel malveillant en utilisant des astuces telles que des e-mails habilement falsifiés.
Pour extorquer une rançon, certains pirates ont également fait croire directement à l'utilisateur final, via des attaques de spam, que des fuites de données avaient eu lieu. Ils ont ensuite extorqué une rançon correspondante en menaçant de publier les données de la victime.
Dans le secteur de la cybercriminalité, il apparaît que l'on procède de plus en plus par division du travail et par cyberattaques en tant que service. On assiste à une véritable externalisation des tâches standard, ce qui a pour conséquence que les attaquants peuvent se concentrer de manière encore plus ciblée sur leurs victimes solvables et qu'ils ont à leur disposition des méthodes sophistiquées.
Les attaques contre les "infrastructures critiques" (KRITIS), qui comprennent par exemple les fournisseurs de services publics tels que l'électricité et l'eau, deviennent particulièrement dangereuses. Selon le BSI, ces attaques sont presque quotidiennes.
Vulnérabilités de sécurité dans Microsoft Exchange
Début mars 2021, Microsoft Exchange a fait les gros titres avec des failles dans le serveur Exchange. Peu après l'annonce de la faille, on pouvait déjà voir sur Internet des scans à grande échelle à la recherche de serveurs Exchange vulnérables. En raison du fait que près de 65.000 serveurs étaient concernés, le BSI n'a déclaré le deuxième niveau de crise le plus élevé que pour la troisième fois depuis sa création.
Ces lacunes ont été rapidement comblées par des mises à jour, mais le BSI estime plausible que même si la mise à jour a été installée rapidement, certains serveurs aient déjà été infectés par des logiciels malveillants à leur insu. Les pirates pourraient activer ces logiciels introduits à n'importe quel moment, ce qui ferait des serveurs des bombes à retardement. Le BSI considère la gestion de telles vulnérabilités comme "l'un des plus grands défis en matière de sécurité de l'information".
Attaques de la chaîne d'approvisionnement
Dans le cas d'une attaque de la chaîne d'approvisionnement, les pirates s'attaquent à l'éditeur de logiciels pour ajouter leur code malveillant à ses produits logiciels et l'introduire ainsi chez l'utilisateur final. Ce type d'attaque s'est également produit au cours de la période couverte par le rapport et s'est avéré être une voie d'attaque difficile à contrôler, selon le BSI.
Cybersécurité et pandémie
Dans son rapport, le BSI a également considéré la cybersécurité dans le contexte de la pandémie.
D'une part, la numérisation des processus commerciaux en raison de la pandémie a naturellement augmenté la surface d'attaque (accès à distance et VPN, systèmes de vidéoconférence, utilisation d'appareils privés dans le cadre du travail, etc.) D'autre part, on constate avec satisfaction qu'aucun incident de sécurité informatique lié à l'application d'alerte Corona n'a été signalé à ce jour.
Attaques contre le système de santé
Au cours de la période sous revue, diverses attaques contre des institutions du secteur de la santé ont fait l'objet d'une attention particulière. Il s'agissait notamment de l'obtention de données internes sur des vaccins, qui ont ensuite été publiées de manière manipulée, sans doute pour susciter des doutes sur le vaccin. Certaines cliniques ont également été touchées et ont dû réduire leur activité jusqu'à la fin de l'attaque.
Réactions
Au vu de ce rapport, la question se pose de savoir comment l'État, l'économie et la société peuvent se protéger contre ces menaces.
Le ministre fédéral de l'Intérieur Seehofer souligne que la législature a été mise à profit pour renforcer massivement la cybersécurité. Non seulement l'agence pour l'innovation en matière de cybersécurité a été créée à Halle, mais le bureau central pour les technologies de l'information dans le domaine de la sécurité (ZITiS) a également été élargi. Nous sommes mieux équipés, tant sur le plan technique que sur celui du personnel.
Le BSI met également en avant la loi sur la sécurité informatique 2.0, qui oblige les "entreprises présentant un intérêt public particulier" à signaler les incidents de sécurité et à prouver leur sécurité. En outre, elle confère au BSI des compétences plus étendues, ce qui est également critiqué par certains. En revanche, la responsabilité pour les logiciels défectueux, réclamée par de nombreuses personnes, n'a pas été intégrée dans la loi. Dans ce domaine, le BSI se contente donc d'en appeler à la responsabilité des développeurs.
Si vous souhaitez développer votre sécurité de l'information et en assurer le suivi, n'hésitez pas à nous contacter.