Quel bilan cyber en 2021 ?

Une explosion des cyberattaques en 2021

2021 a encore été marquée par une hausse – constante depuis quelques années – de la cybercriminalité. Si l’action de l’ANSSI est restée similaire à l’année précédente, celle-ci a néanmoins dénombré beaucoup plus d’incidents : plus de 300 supplémentaires par rapport à 2020.

Dans son Panorama de la menace informatique 2021, l’Agence détaille les principaux incidents connus, tous en augmentation :

• Le nombre d’intrusions avérées dans les systèmes d’information a augmenté de 37% en passant de 786 en 2020 à 1 082 en 2021 (soit près de 3 par jour) ;
• L’exploitation des vulnérabilités 0-day (c’est-à-dire de vulnérabilités qui ne connaissent pas encore de correctif ou palliatif) est passée de 25 en 2020 à 33 en 2021 ;
• Les attaques par rançongiciels ont progressé de 41% par rapport à 2020 et représentent aujourd’hui 24% des méthodes utilisées à l’égard des entreprises ; une quarantaine de rançongiciels différents ont par ailleurs été suivis par l’ANSSI en 2021.

Comme nous le soulignions dans un article dédié, l’ANSSI relève que cette explosion de la cybercriminalité répond principalement à des motivations d’espionnage et de déstabilisation. Sur les 17 opérations de cyberdéfense, 14 sont de l’espionnage informatique, et neuf d’entre eux ont été réalisés via des modes opératoires chinois.

La Cnil a quant à elle constaté une explosion des violations de données, avec 5 037 notifications, soit une hausse de 79% par rapport à l’an passé. En outre, parmi les 14 000 plaintes qu’elle a reçues, plus de 1 400 concernent des atteintes au droit d’accès (dont 28% dans le secteur du travail) et presque 1 000 étaient relatives à la prospection commerciale, associative et politique.

Les causes de l’explosion du risque cyber

Pour comprendre le renouveau de ce phénomène, la Cnil s’est chargée d’« évaluer le niveau de sécurité des sites web français les plus visités », notamment au regard du chiffrement de données, de la sécurisation des accès aux comptes utilisateurs et des mesures de sécurité dédiées aux attaques par rançongiciels.

Elle relève que les principales failles de sécurité rendant les sites web très vulnérables sont dues à l’utilisation de suites cryptographiques et de versions du protocole TLS obsolètes (protocole de sécurisation des échanges par réseau informatique). A cela s’ajoute la faiblesse des mots de passe utilisés, malgré les recommandations régulières qu’elle réalise.

Faisant face au même constat, l’ANSSI a publié au cours de l’année de nombreux guides pour sensibiliser les acteurs et utilisateurs du numérique aux mesures de sécurité et de réaction en cas d’attaque. L’Agence met particulièrement en avant tant dans son Panorama de la menace que dans son rapport d’activité ses recommandations relatives à l’authentification multifacteur et aux mots de passe afin d’encourager le recours aux bonnes pratiques de sécurité.

Quelles ont été les suites données ?

Face à la forte hausse des atteintes cyber, la Cnil indique avoir intensifié son activité répressive. Elle dénombre la réalisation de 384 contrôles ayant donné lieu à 135 mises en demeure (contre 49 en 2020) et 18 sanctions, dont 12 ont été publiées, pour un total de 214 millions d’euros d’amende. Ainsi, le montant des sanctions a t-il augmenté de 55% par rapport à 2020.

La Cnil s’est également concentrée sur la sécurité des données de santé. A ce titre, elle a procédé à 30 missions de contrôles auprès de laboratoires d’analyses médicales, d’hôpitaux, de prestataires et de data brokers en données de santé. Rappelons que plusieurs violations de données impliquant des données de santé sont survenues en 2021, affectant 510 000 personnes pour l’une, près de 500 000 personnes pour l’autre, 1.4 millions de personnes pour l’autre.

En parallèle, l’ANSSI a fait de la protection des systèmes d’information de groupements hospitaliers sa priorité. Un plan de relance a été mis en place pour 135 d’entre eux au cours de l’année 2021, désignés comme opérateurs de services essentiels.

Quels enjeux en 2022 ?

Pour 2022, la Cnil entend notamment mettre l’accent sur les transferts de données dans le cadre de l’utilisation de services de Cloud compte tenu des enjeux de sécurité et de conformité.

Par ailleurs, dans le cadre du volet cybersécurité de France Relance, l’ANSSI a lancé un dispositif de soutien des collectivités territoriales pour l’acquisition et le déploiement de produits et services de cybersécurité.

Plus généralement, le renforcement des exigences et des obligations en matière de cybersécurité et de résilience sera un enjeu pour 2022. A cet égard, le 13 mai dernier, un accord provisoire entre le Conseil et le Parlement européen a été annoncé concernant la révision de la directive NIS en cours de discussion.