Le nombre de cas traités chaque année par CER-IS, l'équipe nationale d'urgence informatique de l'Islande, continue d'augmenter de manière significative. Le directeur de l'unité affirme que sa tâche principale est de suivre les activités des groupes de menaces et des établissements d'enseignement et des entreprises comment les reconnaître.
La tendance reflète les pays voisins
Guðmundur A. Sigmundssson, directeur de certi-is, a présenté les enseignements tirés des cyberattaques en Islande lors d'une conférence de sécurité nationale organisée par le commissaire national de la police islandaise, rapporte Rúv.
CER-IS a géré 1 747 cas l'année dernière, contre 700 en 2022. Le nombre d'incidents de ransomware a doublé pour la quatrième année consécutive. Guðmundur a déclaré que cette croissance reflétait les tendances dans les pays voisins, la plupart des cas impliquant des tentatives de fraude ou de tromperie des individus.
Selon Guðmundur, cela suggère que les systèmes de cybersécurité fonctionnent bien, car les attaquants semblent trouver plus facile de tromper les individus afin de violer les systèmes plutôt que d'attaquer directement les défenses.
Guðmundur a également souligné l'importance de distinguer les différents types d'attaquants et d'adapter les défenses à leurs objectifs. Les acteurs individuels et les groupes criminels organisés prennent généralement des otages de données pour exiger une rançon.
Dans les attaques suspectées de ransomware, la réponse la plus critique est de déconnecter rapidement les systèmes informatiques. Un principe clé est de ne jamais payer la rançon, car cela finance une activité criminelle plus approfondie et n'offre aucune garantie que les données seront récupérées.
Les groupes d'espionnage fonctionnent secrètement dans les systèmes informatiques
Guðmundur a noté que la plus grande préoccupation réside dans les soi-disant groupes de menaces persistantes avancées. Ces acteurs sont souvent bien financés, indirectement ou directement par des acteurs de l'État, et leur objectif est de recueillir des renseignements.
Ces groupes bénéficient de rester à l'intérieur des systèmes non détectés aussi longtemps que possible et fonctionnent donc très discrètement. Répondre à de telles intrusions nécessite des soins, comme toute activité inhabituelle peut les alerter, ce qui les incite à effacer leurs traces – détruisant parfois des données dans le processus, même si ce n'était pas leur intention. Il est crucial de répondre calmement, de maintenir des opérations normales et de rassembler des preuves de la présence des attaquants au sein du système.
Guðmundur a souligné qu'il y a seulement quelques années, l'Islande n'avait pas enregistré un seul cas de ce genre – pas parce qu'ils ne se sont pas produits, mais parce qu'ils ne sont pas détectés. Des progrès significatifs ont été réalisés ces dernières années, mais plus d'amélioration est nécessaire.
Les principaux objectifs de ces attaques sont les entités et les fabricants gouvernementaux. Les acteurs de la menace proviennent généralement de la Russie, de la Chine, de la Corée du Nord et de l'Iran. Les groupes russes sont les plus actifs, qui auraient été responsables de 45 attaques de ce type dans la région nordique la semaine dernière.
Tel que rapporté par Mbl.is, Karl Steinar Valsson, surintendant en chef et chef de la division de sécurité et de renseignement du commissaire national de la police islandaise, a souligné que des nations comme la Russie, la Chine et l'Iran s'engagent activement dans la collecte de renseignements en Islande.