Publicité en cours de chargement...
Panorama de la cybermenace : que retenir du rapport de l’ANSSI ?
Un patching tardif des pares-feux et routeurs exposées sur internet, ces systèmes connectés en permanence et vulnérables, halls d’accueil des systèmes d’information servant dans le moins pire des cas de mineurs de cryptomonnaies, de botnets pour faire du déni de service ou de serveurs de commandes et de contrôle pour opérer des attaques, dans d’autres, de porte d’entrée privilégiée dans les SI de leurs victimes. Autant se dire qu’un pare-feu Fortinet vulnérable à la CVE-2022-40684, une passerelle F5 BIG-IP vulnérable à la CVE-2022-1388, un pare-feu Zyxel vulnérable à la CVE-2022-30525 ou un pare-feu Sophos vulnérable à la CVE-2022-3236, des routeurs TP-Link vulnérables à la CVE-2021-41653 ou encore des routeurs Mikrotik vulnérables aux CVE-2018-14847, CVE-2019-3977, CVE-2019-3978, CVE-2018-14847 ou CVE-2018-7445 sont des opportunités que les attaquants ne manqueront pas d’exploiter.
L’ANSSI constate une diminution de 46 % des victimes de rançongiciels par rapport à 2021, même si comme le rapport l’indique, les chiffres sont basés sur les incidents dont l’agence à connaissance et pourraient ne pas refléter totalement la réalité. Les établissements de santé représentent 10 % des victimes des incidents traités par l’ANSSI. On note également que les entreprises de petite taille, plus vulnérables, mais aussi plus susceptibles de payer des rançons sont toujours les plus attaqués !
Sans réelle surprise, le groupe le plus actif en 2022, est le groupe LockBit, ce groupe qui a compromis fin août le SI du CH Sud Francilien et diffusé publiquement une partie de ses données fin septembre.
À noter également, que ce groupe cybercriminel a annoncé la semaine dernière avoir dérobé 821Go de données au groupe de cliniques Elsan, et qu’il pourrait diffuser une partie des données le 6 février prochain. LockBit ne semble pas avoir exfiltré de données de santé, ce qui collerait avec les informations présentent dans bulletin de CERT Santé indiquant que l’incident aurait été circonscrit au SI du siège parisien du groupe [2].
On note aussi que le groupe Hive qui arrive en seconde position a vu son infrastructure technique démantelée la semaine dernière par les autorités européennes et américaines [3]. Même si le répit pourrait être de plus ou moins longue durée, on ne peut que se réjouir de voir aboutir de belles collaborations comme celles-ci.
L’ANSSI met également en évidence, que les attaquants remplacent progressivement le thème des impôts par celui de la santé pour piéger leurs victimes, en usurpant notamment l’identité de la CNAM, et profitent notamment de l’actualité autour de la création de « Mon espace santé ».
Les acteurs fournissant des infrastructures de commande et de contrôle (C2) au reste de l’écosystème cybercriminel, disparaissent comme Dridex ou TrickBot, mais réapparaissent également comme Qbot ou Emotet. Les connexions vers ce type de serveurs C2 sont assez facilement détectables à l’aide des règles pour le moteur Suricata partagées au sein du projet PAW Patrules [4] notamment, comme il est possible de l’observer dans les deux vidéos publiées sur le sujet [5].
À découvrir → Revue d’actualité cyber un tantinet décalée
L’absence de patching, encore et toujours… La non-application de correctifs de sécurité ne se limite pas aux routeurs et pares-feux, et les attaquants ne se privent pas pour exploiter les vulnérabilités des serveurs de messagerie Exchange et Zimbra non patchés.
Sans réelle surprise là encore, les opérateurs de rançongiciels, n’hésitent pas à se servir des vulnérabilités de configuration et / ou absence de patching sur les hyperviseurs VMware pour gagner du temps dans leur démarche de prise d’otage des SI. Ce qu’ils avaient lors de l’attaque du CHSF.
Nous pouvons donc retenir que malgré nos solutions de sécurité, les attaquants arrivent toujours à compromettre nos SI non entretenus. Les ceintures de sécurité et les airbags ne permettraient donc pas d’éviter l’accident lorsqu’on ne change pas ses pneus usés ?
[1] https://www.cert.ssi.gouv.fr/cti/CERTFR-2023-CTI-001/
[5] https://www.youtube.com/watch?v=WfbD-L2kXbk
https://www.youtube.com/watch?v=ZB0j7X4H3j4
L'auteur
Chef de projet sécurité numérique en santé - GCS e-santé Pays de la Loire Charles Blanc-Rolin est également vice-président de l’APSSIS (Association pour la promotion de la Sécurité des Systèmes d'Information de Santé)
Avez-vous apprécié ce contenu ?
A lire également.

CaRE D2 : renforcer la continuité et la reprise d’activité grâce au test du PCRA
08 sept. 2025 - 11:50,
Tribune
-Le mois de juillet 2025 a marqué le lancement de CaRE D2, avec pour objectif de renforcer la stratégie de continuité et de reprise d'activité des établissements de santé, aussi bien sur le plan métier que sur le plan informatique. Au cœur du dispositif : le Plan de Continuité et de Reprise d'Activit...

Certification des établissements de santé : démarrage du 6ᵉ cycle au 1er septembre 2025
05 sept. 2025 - 11:39,
Actualité
- DSIHDepuis le 1er septembre 2025, la Haute Autorité de santé (HAS) a officiellement lancé le sixième cycle de certification (2025-2030) des établissements de santé. Ce dispositif, renouvelé tous les quatre ans, constitue un levier majeur d’évaluation de la qualité et de la sécurité des soins dans les st...
PSSI et Care D2 : suite de la réflexion sur la question de la signature
01 sept. 2025 - 22:56,
Tribune
-Dans le prolongement du précédent article(1) , intéressons-nous maintenant à un sujet qui déclenche souvent pas mal de débats : qui doit signer la PSSI ? Et d’ailleurs, doit-elle être signée ?
PSSI et Care D2, des questions pas si simples
26 août 2025 - 08:49,
Tribune
-Care Domaine 2 exige, entre autres, une PSSI pour le GHT qui candidate. Cela peut paraître simple, mais en fait cette exigence amène des questions et des réponses, surtout plus de questions que de réponses. Pour en avoir discuté avec pas mal de confrères ces derniers temps, force est de constater qu...