1. Contexte général et finalité du rapport
Je viens de finir la lecture et l’analyse du rapport 2024 publié par l’ANSSI synthétise les principales menaces, incidents et évolutions structurelles observés entre janvier et décembre 2024.
J’ai utilisé l’IA pour structurer mes notes et surtout corriger les fautes d’orthographes en tout genre.
L’avantage de ce rapport est qu’il s’adresse aussi bien aux bénéficiaires institutionnels, qu’à la communauté cyber française ainsi qu’aux partenaires internationaux.
S’il ne prétend pas à l’exhaustivité, il reflète les engagements opérationnels de l’ANSSI et oriente ses recommandations de façon claire et structurée.
Trois axes d’analyse structurent le rapport :
- Les opportunités pour les attaquants,
- Les moyens employés,
- Les objectifs des attaques.
2. Opportunités pour les attaquants
2.1. Jeux Olympiques de Paris 2024
Événement à fort retentissement médiatique, les JO ont été ciblés principalement pour des raisons de :
- Déstabilisation (DDoS, défacements, exfiltration de données),
- Extorsion (ransomware ciblant des institutions en marge de l’événement),
- Espionnage (pré-positionnement observé dès 2022, notamment par des acteurs chinois).
Aucun incident majeur n’a cependant affecté le bon déroulement des Jeux. ANSSI relève un niveau d’attaque conforme aux attentes, principalement conduit par des groupes hacktivistes (pro-Russes, pro-Palestiniens).
2.2. Faiblesses techniques persistantes
L’exploitation des mauvaises pratiques dans les Active Directory (ex. : SPN sur comptes privilégiés, mots de passe non renouvelés depuis des années, mauvaises ACL, vulnérabilités sur ADCS) reste une source majeure de compromission.
ANSSI insiste sur l’importance :
- du durcissement des SI,
- de la supervision active,
- et de la capacité de remédiation.
2.3. Vulnérabilités exploitées
La majorité des incidents critiques traités en 2024 découle de l’exploitation de vulnérabilités sur des équipements exposés à Internet (VPN, firewalls, gateways).
Exemples notables :
- CVE-2024-3400 (Palo Alto),
- CVE-2024-21887/21893 (Ivanti),
- CVE-2024-47575 (Fortinet),
- CVE-2021-44228 (Apache Log4j, toujours activement exploitée).
Le délai d’application des correctifs reste trop long : de nombreuses compromissions ont eu lieu plusieurs mois après la publication des correctifs.
3. Moyens employés par les attaquants
3.1. Attaques sur la chaîne d’approvisionnement
Les attaques ciblant les fournisseurs de services numériques (ESN, MSP) sont en hausse. Elles permettent un accès indirect aux SI cibles via des connexions de confiance mal maîtrisées.
Exemples :
- compromission d’un prestataire étranger travaillant pour des industriels français,
- exploitation de logiciels compromis (XZ Utils, AnyDesk).
3.2. Évolution des infrastructures d’attaque
Les attaquants (étatiques ou cybercriminels) utilisent :
- des réseaux d’anonymisation industrialisés (ex : KV Botnet, ORBWEAVER),
- des outils open source ou légitimes pour échapper à la détection (Living off the Land),
- des capacités issues d’acteurs privés du cyber offensif.
Des intrusions attribuées à Nobelium (SVR russe) ont visé des entités cyber, et Volt Typhoon (attribué à la Chine) a poursuivi son pré-positionnement discret sur des infrastructures critiques.
3.3. Services cyber à la demande
Un écosystème privé (notamment chinois) se structure autour de prestations offensives :
- collecte massive de données via ADINT (publicité + renseignement),
- services de surveillance mobile non régulés,
- compromission de terminaux via la diffusion de publicités.
Fait notable : la fuite de données d’I-SOON révèle une offre offensive structurée à des fins de future contractualisation par les autorités chinoises.
4. Objectifs des attaques
4.1. Attaques à but lucratif
Les ransomwares restent dominants. En 2024, 144 cas ont été traités par l’ANSSI, stable par rapport à 2023. Toutefois :
- montée en puissance de groupes comme RansomHub, Qilin, Akira,
- émergence de nouveaux groupes moins sophistiqués exploitant des codes sources divulgués (ex : BrainCipher).
Des cibles sensibles comme les universités, collectivités ou prestataires ont été touchées, démontrant l’importance des PCA/PRA.
4.2. Déstabilisation
Le nombre d’attaques DDoS a doublé en 2024. Les attaques contre des infrastructures critiques comme le RIE ou OVH illustrent leur intensité. Des actes de sabotage limités ont visé des installations industrielles (énergies renouvelables, stations d’épuration) — souvent exploitées pour des effets d’annonce sans réels dégâts.
4.3. Espionnage
Les campagnes de compromission longue durée persistent :
- APT28 et Nobelium (Russie) visent diplomatie, télécoms, think tanks.
- APT42 (Iran) cible chercheurs, journalistes, universités.
- Des intrusions chinoises ont affecté le secteur maritime, les télécoms, et des pays de l’ASEAN.
Les télécoms restent une cible privilégiée. ANSSI a détecté plusieurs intrusions prolongées avec des niveaux de privilèges élevés sur les cœurs de réseaux, parfois depuis plusieurs années.
5. Régulation et coordination
L’année 2024 marque un tournant :
- Adoption du Cyber Resilience Act (UE) (entrée en vigueur prévue en 2026),
- Obligation pour les éditeurs de notifier les vulnérabilités à l’ANSSI,
- 236 signalements de vulnérabilités traités par le CERT-FR, dont 40 cas de coordination multipartite.
Le mot de la fin
Le paysage cyber en 2024 s’est caractérisé par une intensité constante des menaces, une sophistication croissante des attaquants et un renforcement des obligations réglementaires. Les recommandations de l’ANSSI restent centrées sur :
- le durcissement des SI,
- la supervision active,
- la réduction de l’exposition à Internet des services critiques,
- une attention renforcée aux chaînes de dépendances numériques.
Un rapport complet et fonctionnel. Merci à l’agence de partager ces informations.
Source
Rapport ANSSI 2024 : https://www.cert.ssi.gouv.fr/uploads/CERTFR-2025-CTI-004.pdf
