Les tendances des cyberattaques en 2018
Le nombre de cyberattaques destructrices a continué d'augmenter en 2018. Les groupes de pirates criminels ont augmenté leur efficacité, agissent sans tenir compte des conditions géographiques et traversent toutes les industries. Ils recherchent sans relâche les failles dans l'infrastructure informatique des organisations. Et là où les portes sont ouvertes, ils saisissent l'occasion. Leurs objectifs sont de nature géopolitique ou financière.
Dans son dernier rapport, le Cyber Intrusion Casebook, la société de cybersécurité CrowdStrike a analysé de grandes quantités de données relatives à la sécurité en 2018. Elle y résume les défis auxquels les organisations et les entreprises sont confrontées et comment elles peuvent mieux se préparer à la prochaine vague d'attaques. Quatre grandes tendances se dégagent en matière de cyberattaques et de méthodes d'attaque :
1. les auteurs de cybercrimes utilisent des techniques de plus en plus créatives pour monétiser leurs attaques
La capacité d'innovation des attaquants et la sophistication des acteurs de l'e-crime ne diminuent pas. L'écosystème hostile évolue et les acteurs qui travaillaient auparavant de manière discrète et isolée travaillent désormais de manière coordonnée et unissent leurs forces. En 2018, les utilisateurs d'adresses électroniques professionnelles en ont par exemple toujours fait les frais. Le rapport est tombé sur des cas qui allaient bien au-delà de la simple lecture d'e-mails : Les acteurs pouvaient voir en direct comment les e-mails étaient écrits et envoyés.
2. les attaquants frappent rapidement et en profondeur
Les attaquants sont patients lorsqu'il s'agit d'atteindre leurs objectifs : ils accèdent rapidement aux systèmes, s'activent rapidement, mais font preuve d'une patience énorme lorsqu'il le faut. Dans ce contexte, les attaquants étatiques sont particulièrement persévérants et imaginatifs dans leur recherche de données de qualité au sein de l'organisation cible.
Comme les années précédentes, la confiance non critique dans les outils patrimoniaux a offert aux pirates la possibilité de rester dans les systèmes pendant une période prolongée. Souvent, les entreprises, par exemple, pensaient que l'affaire était résolue. Mais l'attaquant continuait à se cacher ou était rapidement de retour.
Souvent, les entreprises ont migré leurs données vers le cloud en s'attendant à ce que les fournisseurs de services cloud aient des mécanismes et des contrôles de sécurité. Elles ne pouvaient pas savoir si les fournisseurs avaient correctement configuré et appliqué les contrôles. De simples erreurs de configuration et des malentendus sur les contrôles d'accès permettent aux pirates d'accéder à une entreprise - tout simplement par le biais du fournisseur de services en nuage.
3. les logiciels malveillants de commodité sont souvent les précurseurs d'une attaque fortement perturbatrice
L'accès obtenu par des logiciels malveillants de commodité (code malveillant affectant un logiciel utilisé sur une multitude d'appareils) est de plus en plus vendu à d'autres acteurs. Ceux-ci ont alors utilisé des ransomwares, volé la propriété intellectuelle ou initié le cryptomining, la fraude et l'extorsion. On a vu par exemple des attaquants utiliser une famille de logiciels malveillants appelée TrickBot, uniquement pour transmettre l'accès ainsi obtenu à d'autres groupes hostiles qui ont ensuite lancé des attaques d'extorsion. Cette méthode a même été observée dans des petites et moyennes entreprises. La vulnérabilité d'une entreprise aux logiciels malveillants de base peut en fin de compte être un indicateur de l'efficacité de la stratégie de sécurité globale.
4. les attaquants se cachent à la vue de tous et se font passer pour des utilisateurs légitimes
Les attaques les plus rapides et les plus dommageables restent celles où les pirates se font passer pour des utilisateurs légitimes. Elles se produisent souvent lorsque les informations d'identification des utilisateurs sont incontrôlées, mal configurées ou contournées. Une fois l'accès obtenu, l'entreprise est totalement exposée. Une utilisation mal configurée et non réfléchie des contrôles d'accès donne souvent aux entreprises un faux sentiment de protection.
Au vu de ces tendances en matière de cyberattaques, il est également évident que la sécurité n'est pas seulement un sujet pour le département informatique, mais qu'elle concerne l'ensemble de l'entreprise et doit être prise en compte de manière stratégique. L'objectif temporel de la "règle 1-10-60" constitue une règle d'or. En moyenne, les entreprises ou organisations ne devraient pas laisser plus d'une minute pour identifier une menace, dix minutes pour l'examiner et 60 minutes pour y remédier. Les entreprises qui agissent avec cette exigence augmentent leurs chances de devancer l'adversaire et d'empêcher une attaque.
Source : CrowdStrike
