Source et contexte — Sicurezza Nazionale (Relazione annuale 2026 de l’intelligence italienne). Document de référence sur la politique d’information pour la sécurité, il couvre l’année 2025 et propose des scénarios prospectifs.

• Menace principale et cibles

  • Espionnage APT de matrice étatique: activité « constante » de groupes hautement spécialisés, recevant orientations et soutien financier d’appareils gouvernementaux étrangers, focalisés sur secteurs stratégiques (notamment aérospatial, infrastructures digitales/ICT) et sur les ministères/administrations centrales.
  • Intérêt accru pour le secteur public, y compris structures sanitaires (vol de identités/identifiants sur postes du personnel, revente sur deep/dark web et réutilisation pour d’autres intrusions).
  • Dans le privé, repli relatif des offensives mais pression persistante sur IT/Télécoms, énergie et banques; exposition particulière des PME prises de manière opportuniste pour étendre l’« anonymisation » des attaquants.

• Techniques, infrastructures et impacts

  • Montée du ransomware (levier financier et de disruption), de l’exfiltration de données et de l’exploitation de vulnérabilitésy compris 0‑day — sur des composants de réseau et systèmes de messagerie largement déployés en entreprise.
  • Usage accru de covert relay networks: chaînes de VPS et équipements compromis (routeurs, pare‑feux, IoT, NAS) pour anonymiser le trafic et compliquer l’attribution.
  • OT/SCADA: tentatives répétées d’exploitation de faiblesses intrinsèques (mises à jour difficiles, mots de passe admin faibles, protocoles obsolètes/non chiffrés) afin de provoquer perturbations/sabotages; fort risque d’effet médiatique et de perception d’insécurité.
  • Hacktivisme: activité marginale (ex. groupe « noname075(16) »), surtout orientée vers des actions DDoS/défacement et exploitation médiatique.

• Attribution, posture et coopération

  • 27 août 2025: co‑signature par la communauté Intelligence italienne d’un Joint Cybersecurity Advisory avec les homologues occidentaux, attribuant publiquement à la RPC la campagne d’espionnage du groupe APT « Salt Typhoon » (« Countering Chinese State‑Sponsored Actors Compromise of Networks Worldwide to Feed Global Espionage System »).
  • Poursuite des travaux nationaux sur l’attribution (mise en œuvre de la mesure #40 de la Stratégie Nationale de Cybersécurité 2022‑2026).

• IA et cybersécurité (opportunités/risques)

  • IA multimodale intégrée à la détection/réponse: priorisation d’alertes, analyse forensique, détection de phishing sophistiqué, accélération du SOC.
  • Nouveaux risques: data poisoning, contournement de garde‑fous via inputs multimédias, opacité décisionnelle des modèles, élargissement de la surface d’attaque; tension entre explainability et exposition de faiblesses.
  • Caractère dual‑use: renforce à la fois défense et offensive; besoin de security‑by‑design et gouvernance continue.

• Synthèse visuelle fournie par le rapport

  • Une tableau de bord “Sicurezza Cibernetica” liste: cibles publiques vs privées, acteurs (APT étatiques, criminels, hacktivistes), techniques (malware/ransomware, exploitation de vulnérabilités, phishing/spear‑phishing, password cracking), finalités (avantage économique/stratégique, espionnage), résultats (vol d’identifiants/données, APT persistantes, DDoS, défacement).

TTPs observées (extraits)

  • Exploitation de vulnérabilités connues et 0‑day sur systèmes de messagerie et équipements réseau.
  • Ransomware et wipers, spyware/rootkit/keylogger.
  • Phishing/Spear‑phishing et ingénierie sociale.
  • Pré‑positionnement discret pour effets différés conditionnels (stratégie “proxy/mandant”).
  • Covert relay networks (VPS, routeurs/IoT/NAS compromis) pour anonymisation et anti‑attribution.
  • Ciblage OT/SCADA via protocoles non chiffrés, mots de passe faibles, mises à jour difficiles.

IOCs

  • Le rapport ne publie pas d’IOCs techniques (adresses IP, domaines, hachages) spécifiques; il cite toutefois le groupe APT « Salt Typhoon ».

Ce document est un rapport d’analyse stratégique/prospective visant à dresser l’état de la menace cyber 2025 en Italie et à orienter les priorités (attribution, protection des secteurs critiques, intégration raisonnée de l’IA).

🧠 TTPs et IOCs détectés

TTP

[‘Exploitation de vulnérabilités connues et 0-day sur systèmes de messagerie et équipements réseau’, ‘Utilisation de ransomware et wipers’, ‘Déploiement de spyware/rootkit/keylogger’, ‘Phishing/Spear-phishing et ingénierie sociale’, ‘Pré-positionnement discret pour effets différés conditionnels’, ‘Utilisation de covert relay networks (VPS, routeurs/IoT/NAS compromis) pour anonymisation et anti-attribution’, ‘Ciblage OT/SCADA via protocoles non chiffrés, mots de passe faibles, mises à jour difficiles’]

IOC

Le rapport ne publie pas d’IOCs techniques spécifiques; il cite toutefois le groupe APT « Salt Typhoon ».

🔗 Source originale : https://www.sicurezzanazionale.gov.it/contenuti/relazione-al-parlamento-2026?utm_source=substack&utm_medium=email