Défense
Quelles sont les motivations principales des assaillants ?
Les motivations des attaquants sont diverses. Les attaques peuvent être classées selon leurs objectifs : obtenir des gains financiers, mener des activités d’espionnage ou provoquer de la déstabilisation. L'Agence nationale de la sécurité des systèmes d'information surveille attentivement toutes ces catégories de menaces, car elles peuvent impacter ses bénéficiaires dans les secteurs public et privé, ainsi que les intérêts fondamentaux de la Nation.
Une fois qu’un attaquant a réussi à infiltrer un système d’information, il peut choisir de s’y établir. Ce processus est connu sous le nom de pré-positionnement. Cette étape précède une attaque prolongée dont les objectifs ne sont pas toujours clairement définis. Ce pré-positionnement permet à l’attaquant de mener ultérieurement des actions de sabotage ou d’espionnage.
Les attaques motivées par le profit cherchent à obtenir un gain financier, que ce soit de manière directe ou indirecte. Elles sont généralement menées par des groupes de cybercriminels organisés. La cybercriminalité touche un large éventail d’entités, souvent ciblées de manière opportuniste par les attaquants.
L'espionnage
Les attaques visant à obtenir des renseignements pour des raisons étatiques ou économiques sont souvent menées en infiltrant les systèmes d’information d’une organisation ou d’un individu afin de s’emparer des données stockées et de les exploiter. Le but de ces opérations est de maintenir un accès discret et prolongé au système infiltré pour capter toute information stratégique d’intérêt. Il peut parfois falloir des années à une organisation pour réaliser qu’elle a été victime d’espionnage.
Certains secteurs industriels (armement, spatial, aéronautique, industrie pharmaceutique, énergie, etc.) ainsi que certaines activités de l’État (économie, finances, affaires étrangères, défense, etc.) sont particulièrement vulnérables à ce type de menace.
La déstabilisation
Certaines opérations d’influence exploitent la compromission de contenus légitimes, tels que des boîtes mails ou des sites internet, pour les utiliser dans des campagnes de diffusion de fausses informations. Ces contenus peuvent être intentionnellement modifiés et rendus publics. L’objectif principal est de changer les perceptions d’une population ou de déstabiliser un acteur spécifique ou un processus démocratique.
Enfin, certaines attaques prennent la forme d’actes de sabotage informatique, visant à rendre tout ou partie du système d’information d’une organisation (y compris les systèmes industriels) inopérant. Certains attaquants cherchent à se positionner sur des systèmes d’informations stratégiques sur le long terme. La finalité de ces intrusions reste souvent floue, oscillant entre espionnage et préparation d’actes de sabotage.
Les attaques utilisent souvent plusieurs techniques et sont menées par divers acteurs, allant des individus isolés aux organisations étatiques offensives.
En conclusion
Les attaques représentent une menace complexe et multiforme, avec des motivations allant des gains financiers à l’espionnage et à la déstabilisation. La capacité des attaquants à se pré-positionner et à mener des actions prolongées et discrètes souligne l’importance d’une vigilance constante et d’une défense robuste pour protéger les systèmes d’information stratégiques.
Espionnage et attaques sur l’industrie de défense révélés par le ministre
Devant la commission sénatoriale, Sébastien Lecornu a exposé des cas d’ingérences étrangères. Il a signalé une recrudescence significative d’agressions physiques ciblant en particulier les prestataires travaillant pour les entreprises de défense.
https://youtu.be/MPtR4YQtZfg
Le 25 juin, face aux membres de la commission enquêtant sur les ingérences étrangères, Sébastien Lecornu, ministre des Armées, a été particulièrement éloquent. Dans le cadre de sa dernière intervention, il a mis en lumière un aspect différent de la guerre hybride orchestrée par des acteurs internationaux.
Au cours des années 2022 et 2023, environ une cinquantaine de sociétés ont été victimes, outre les attaques cybernétiques, de violations telles que des intrusions, des effractions et des tentatives de contact. Ces statistiques, qui n’avaient pas été précédemment communiquées au grand public, ont connu une augmentation de 25% en comparaison avec l’année 2021.
Sébastien Lecornu considère que cela relève beaucoup de la “guerre froide”. Bien que cela n’ait jamais complètement cessé, cela a repris de manière significative au cours des deux dernières années. Il souligne également que le rythme de ces offensives ne montre aucun signe de ralentissement.
"Il a été observé une intensification des activités d’espionnage récemment."
Bien que les grandes entreprises de la Base Industrielle et Technologique de Défense (BITD) aient été la cible de tentatives d’attaques, la grande majorité de ces dernières ont ciblé leurs sous-traitants. Ces derniers, qui incluent des très petites entreprises (TPE), des petites et moyennes entreprises (PME) ainsi que des entreprises de taille intermédiaire (ETI), ont été confrontés à 80 % de ces attaques.
Afin de contrer et de démasquer les instigateurs d’attaques, le ministère de la Défense s’en remet à la Direction du renseignement et de la sécurité de la Défense (DRSD), une entité méconnue. Cette direction, experte en contre-espionnage et faisant partie de l’élite des services, est constituée de 1.700 personnels, tant civils que militaires. De 2019 à 2025, son budget a connu une hausse de 97%. Elle a pour objectif de repérer, former et sauvegarder les entités, qu’elles soient civiles ou militaires, visées par des menaces.
Le financement alloué à la DRSD “continuera de croître jusqu’à 2030”, conformément à la Loi de programmation militaire. Cependant, selon Sébastien Lecornu, la sécurisation des sociétés incombe à ces dernières. "Lorsqu’une autorisation de ‘secret défense’ est octroyée, il est impératif que les sociétés adoptent les mesures appropriées à cette certification.
Il est clair que si votre organisation est une entreprise de défense ou une entité qui pourrait être ciblée par des adversaires, International ICS est capable de mener des opérations de “Contre-Mesures de Surveillance Technique” (le terme TSCM en anglais). Cette démarche inclut la détection de tout équipement malintentionné et l’identification de vulnérabilités, qu’elles soient structurelles ou organisationnelles, afin d’assurer la sécurité des informations et de protéger l’intégralité des actifs informationnels dans toutes leurs formes.