Publicité en cours de chargement...
Panorama de la cybermenace : que retenir du rapport de l’ANSSI ?
Un patching tardif des pares-feux et routeurs exposées sur internet, ces systèmes connectés en permanence et vulnérables, halls d’accueil des systèmes d’information servant dans le moins pire des cas de mineurs de cryptomonnaies, de botnets pour faire du déni de service ou de serveurs de commandes et de contrôle pour opérer des attaques, dans d’autres, de porte d’entrée privilégiée dans les SI de leurs victimes. Autant se dire qu’un pare-feu Fortinet vulnérable à la CVE-2022-40684, une passerelle F5 BIG-IP vulnérable à la CVE-2022-1388, un pare-feu Zyxel vulnérable à la CVE-2022-30525 ou un pare-feu Sophos vulnérable à la CVE-2022-3236, des routeurs TP-Link vulnérables à la CVE-2021-41653 ou encore des routeurs Mikrotik vulnérables aux CVE-2018-14847, CVE-2019-3977, CVE-2019-3978, CVE-2018-14847 ou CVE-2018-7445 sont des opportunités que les attaquants ne manqueront pas d’exploiter.
L’ANSSI constate une diminution de 46 % des victimes de rançongiciels par rapport à 2021, même si comme le rapport l’indique, les chiffres sont basés sur les incidents dont l’agence à connaissance et pourraient ne pas refléter totalement la réalité. Les établissements de santé représentent 10 % des victimes des incidents traités par l’ANSSI. On note également que les entreprises de petite taille, plus vulnérables, mais aussi plus susceptibles de payer des rançons sont toujours les plus attaqués !
Sans réelle surprise, le groupe le plus actif en 2022, est le groupe LockBit, ce groupe qui a compromis fin août le SI du CH Sud Francilien et diffusé publiquement une partie de ses données fin septembre.
À noter également, que ce groupe cybercriminel a annoncé la semaine dernière avoir dérobé 821Go de données au groupe de cliniques Elsan, et qu’il pourrait diffuser une partie des données le 6 février prochain. LockBit ne semble pas avoir exfiltré de données de santé, ce qui collerait avec les informations présentent dans bulletin de CERT Santé indiquant que l’incident aurait été circonscrit au SI du siège parisien du groupe [2].
On note aussi que le groupe Hive qui arrive en seconde position a vu son infrastructure technique démantelée la semaine dernière par les autorités européennes et américaines [3]. Même si le répit pourrait être de plus ou moins longue durée, on ne peut que se réjouir de voir aboutir de belles collaborations comme celles-ci.
L’ANSSI met également en évidence, que les attaquants remplacent progressivement le thème des impôts par celui de la santé pour piéger leurs victimes, en usurpant notamment l’identité de la CNAM, et profitent notamment de l’actualité autour de la création de « Mon espace santé ».
Les acteurs fournissant des infrastructures de commande et de contrôle (C2) au reste de l’écosystème cybercriminel, disparaissent comme Dridex ou TrickBot, mais réapparaissent également comme Qbot ou Emotet. Les connexions vers ce type de serveurs C2 sont assez facilement détectables à l’aide des règles pour le moteur Suricata partagées au sein du projet PAW Patrules [4] notamment, comme il est possible de l’observer dans les deux vidéos publiées sur le sujet [5].
À découvrir → Revue d’actualité cyber un tantinet décalée
L’absence de patching, encore et toujours… La non-application de correctifs de sécurité ne se limite pas aux routeurs et pares-feux, et les attaquants ne se privent pas pour exploiter les vulnérabilités des serveurs de messagerie Exchange et Zimbra non patchés.
Sans réelle surprise là encore, les opérateurs de rançongiciels, n’hésitent pas à se servir des vulnérabilités de configuration et / ou absence de patching sur les hyperviseurs VMware pour gagner du temps dans leur démarche de prise d’otage des SI. Ce qu’ils avaient lors de l’attaque du CHSF.
Nous pouvons donc retenir que malgré nos solutions de sécurité, les attaquants arrivent toujours à compromettre nos SI non entretenus. Les ceintures de sécurité et les airbags ne permettraient donc pas d’éviter l’accident lorsqu’on ne change pas ses pneus usés ?
[1] https://www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-001/
[5] https://www.youtube.com/watch?v=WfbD-L2kXbk
https://www.youtube.com/watch?v=ZB0j7X4H3j4
L'auteur
Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)
Avez-vous apprécié ce contenu ?
A lire également.

Le numérique médico-social : mutation systémique et levier d’humanité
08 juil. 2025 - 01:07,
Actualité
- DSIHLongtemps resté en périphérie des politiques publiques du numérique en santé, le secteur médico-social entre aujourd’hui dans une phase de transformation profonde. C’est cette bascule, inédite et structurante, que décrivent Olivier Babinet et Manon Lorenzo dans leur ouvrage Le virage du numérique en...

Mobisoins Patient : quand soignants et éditeur innovent ensemble au service du patient
08 juil. 2025 - 00:49,
Actualité
- Maellie Vezien, DSIHÀ l’heure où les soins hospitaliers se déploient de plus en plus à domicile, l’implication du patient dans son parcours de santé devient essentielle. Mais comment favoriser son autonomie tout en garantissant une prise en charge sécurisée ? C’est le défi que relèvent l’HAD Vendée et Dicsit Informatiq...

Pilotage des blocs opératoires : l’Anap dévoile une plateforme numérique intégrée pour améliorer la performance et la gouvernance
08 juil. 2025 - 00:26,
Actualité
- DSIHL’Agence nationale de la performance sanitaire et médico-sociale (Anap) franchit un nouveau cap dans le soutien aux établissements de santé avec le lancement d’une plateforme numérique unique dédiée à l’optimisation des blocs opératoires. Ce nouvel outil regroupe 22 ressources opérationnelles destin...

Données de santé et intelligence artificielle : la France lance sa stratégie nationale pour accélérer l’innovation en santé
07 juil. 2025 - 23:57,
Actualité
- DSIHLe ministre chargé de la Santé et de l’Accès aux soins, Yannick Neuder, a réuni ce 1er juillet un Comité stratégique exceptionnel pour présenter les premières étapes de la stratégie nationale sur l’intelligence artificielle (IA) et l’utilisation secondaire des données de santé. Objectif : structurer...