Accueil Cybercriminalité Quelles menaces surveiller ? Les réponses des études

Quelles menaces surveiller ? Les réponses des études

© Cliff Hang de Pixabay

Les études sont une mine d’informations pour connaître les menaces actuelles ou à venir. En voici une série de sept à étudier.

LE RAPPORT DE L’ANSSI CONCERNANT L’ÉTAT DE LA MENACE SUR LE CLOUD, GRANDISSANTE…

L’ANSSI observe une augmentation des attaques contre les environnements cloud. Ces campagnes d’attaques affectent les fournisseurs de services cloud. Elles visent également les environnements de clients de services cloud, dont l’hybridation des systèmes d’information générée par l’usage du cloud augmente la surface d’attaque.

On le sait, le cloud offre de nouvelles opportunités d’attaques et affecte les organisations qui l’utilisent. Dans son rapport, l’ANSSI dit observer une augmentation des attaques contre les environnements cloud. Ces campagnes, menées à des fins lucratives, d’espionnage et de déstabilisation, affectent les fournisseurs de services cloud (Cloud Service Providers), en partie ciblés pour les accès qu’ils peuvent offrir vers leurs clients. Elles ciblent également les environnements de clients de services cloud, dont l’hybridation des systèmes d’information générée par l’usage du cloud, augmente la surface d’attaque.

Des attaquants aux compétences spécifiques

L’agence de sécurité indique que les attaquants ont développé des compétences spécifiques au ciblage des environnements cloud. « Par exemple, les modes opératoires d’attaque (MOA) Mango Sandstorm, Scattered Spider, Nobelium, Storm-0558 ou encore Storm-0501 sont employés à des fins lucratives, d’espionnage ou de déstabilisation, pour compromettre ce type d’environnements », explique l’ANSSI. Cette maîtrise se traduit notamment par la multiplication des tentatives de latéralisation vers le cloud depuis des environnements on premise compromis mais également par l’exploitation des mauvaises configurations et défauts de sécurisation inhérents au secteur.

Les failles des équipements de bordure

« L’exploitation de vulnérabilités dans des équipements de bordure (tels que des équipements VPN) constitue un point d’entrée privilégié par une vaste gamme d’acteurs malveillants. Dans une moindre mesure, les attaquants réputés liés à des États et disposant de ressources plus importantes utilisent également des vulnérabilités Zero-Day (0-day) pour compromettre les environnements ciblés. »

Tendance grandissante : l’utilisation des services de cloud comme infrastructures d’attaques, « qu’il s’agisse de louer de l’infrastructure d’attaque chez des opérateurs de cloud ou d’utiliser des plateformes grand public comme lieu de stockage, d’accès à des codes malveillants ou d’exfiltration de données volées. » Ces nouvelles pratiques complexifient la détection en dissimulant les activités malveillantes au sein du trafic légitime des utilisateurs de ces plateformes, analyse l’ANSSI.

L’agence rappelle que la sécurité sur le cloud relève d’une responsabilité partagée entre les clients et les fournisseurs de services. « Bien qu’en partie dépendants du fournisseur pour leur sécurité, les clients de services cloud ont également des responsabilités importantes concernant la gestion des données et des identités. » À cet effet, l’agence livre des recommandations de sécurité aux deux parties.

LA FRANCE EST UN PAYS ATTRACTIF POUR LES HACKERS, SELON ALMOND

© Gerd Altmann de Pixabay

Almond a publié son observatoire des cybermenaces qui conclut à une accélération des attaques depuis 18 mois. La France est un pays attractif pour les hackers !

Un constat résume la situation : 282 victimes de ransomwares en France, soit 10 % des ransomwares détectés en Europe. LockBit reste leader des logiciels les plus utilisés, suivi par RansomHub. Autre classique : la fuite de données. Almond en recense 539 depuis fin 2023.

Bonne pioche, les bases de données de France Travail et Cap Emploi

« Parmi les nombreuses attaques subies par la France, les bases de données de France Travail et Cap Emploi contenant les données personnelles de 43 millions de personnes (numéros de sécurité sociale, identité, adresse) ont été compromises. Cette violation massive de données ne manque pas de susciter l’intérêt des attaquants sur des forums cybercriminels compte tenu de l’ampleur des campagnes de phishing qui peuvent être menées », explique le rapport.

Les attaques DDoS sont toujours aussi nombreuses mais la France ne fait pas partie des cibles. En revanche, 23 % d’entre elles viennent de France. « Les attaques subies en France proviennent principalement des pays d’Europe de l’Ouest et des États-Unis. La France étant en tête, il est possible que les attaquants français privilégient la compromission de machines situées sur leur territoire en raison de la proximité linguistique et culturelle, analyse le rapport. Les attaques les plus rapides ont été menées en juillet 2024, correspondant au début des Jeux olympiques de Paris. La sensibilité des entités ciblées peut expliquer la rapidité d’exécution des attaques », poursuit le rapport.

RAPPORT THREAT INTELLIGENCE DE MIMECAST : LE PHISHING TOUJOURS AUSSI EFFICACE

© Jonathan Hammond de Pixabay

Mimecast a publié son rapport sur la threat intelligence pour le deuxième semestre 2024. Le document s’appuie sur les données remontées par les utilisateurs des outils Mimecast. Deux secteurs ont été particulièrement ciblés : le divertissement et les médias. L’IA est plus que jamais au cœur des attaques et des contre-mesures.

Les principales méthodes d’attaques sont :

  • les faux e-mails de phishing : le secteur financier a été fortement touché. Le spear phishing a été beaucoup utilisé pour faire croire à l’envoi d’e-mails et documents de confiance par un service juridique ;
  • les fausses offres d’emploi : une campagne phishing utilisant un site connu et légitime a été propagée. Les pages de hameçonnage utilisent des Captcha et le filtrage des adresses IP pour empêcher la détection automatique et visent à recueillir les informations d’identification de Facebook ;
  • le classique mais efficace faux message de livraison, que ce soit par e-mail ou par SMS ;
  • autre classique des faux e-mails pour faire du phishing : les e-mails annonçant la fin d’un abonnement ou un problème sur son compte bancaire.

Ce sont des campagnes redoutables, surtout quand les e-mails sont bien rédigés.

E-MAILS : 46 % DES SALARIÉS CLIQUENT ENCORE SUR DES LIENS DOUTEUX

© guilaine de Pixabay

Un sondage OpinionWay réalisé pour LockSelf, éditeur d’un coffre numérique SaaS, met en avant que 46 % des salariés avouent cliquer sur des liens dans des e-mails professionnels sans vérifier leur provenance.

Ils sont quasiment autant (44 %) à télécharger du contenu dans un e-mail professionnel sans en vérifier la provenance. Un chiffre étonnant alors que selon ce même sondage¹ 94 % des salariés considèrent que la cybersécurité en entreprise est l’affaire de tous.

Pour rester dans le paradoxe, 94 % des répondants déclarent être en mesure de reconnaître un e-mail de phishing, alors que, comme indiqué précédemment, près d’1 salarié sur 2 admet encore cliquer sur des liens douteux dans leurs boîtes e-mails.

Il peut s’agir d’un problème de formation. En effet, près d’1 salarié sur 2 n’a jamais reçu de formation liée à la cybersécurité, un chiffre qui grimpe à 68 % dans les entreprises de moins de 20 salariés. 70 % souhaiteraient être davantage informés sur les risques numériques. Julien Tessier, cofondateur et président de LockSelf, le confirme : « Les résultats de notre étude mettent en lumière une véritable dichotomie entre les pratiques numériques des salariés et leur perception des risques. Malgré une prise de conscience croissante, des habitudes dangereuses comme le partage de mot de passe non sécurisé entre collaborateurs ou les clics sur des liens de phishing persistent, souvent par manque de formation. »

Attaque informatique : la menace fantôme

La possibilité d’une cyberattaque contre son entreprise est un scénario écarté par près de 40 % des répondants. Parmi eux, 27 % le jugent peu probable et 10 % inexistant. Cette sous-estimation du risque cyber nécessite pour les entreprises une vigilance proactive et l’investissement dans la sensibilisation aux risques numériques. En effet, elle révèle un certain décalage avec la réalité, car les mauvaises pratiques ne sont pas loin…

1 L’étude a été réalisée par questionnaire auto-administré en ligne du 27 novembre au 2 décembre 2024, auprès d’un échantillon de 1 299 salariés de bureaux disposant d’un ordinateur, issu d’un échantillon de 2 111 personnes représentatif de la population salariée d’entreprises privées et publiques française âgée de 18 ans et plus.

ANTICIPER 10 CYBERMENACES IDENTIFIÉES PAR MICROSOFT

© Gerd Altmann de Pixabay

Microsoft, sur la base de 1 500 groupes privés et étatiques, a publié un rapport sur la défense numérique qui identifie 10 tendances.

  1. Diminution des attaques par rançon
    Les attaques ont été divisées par 3 en 2 ans. Celles qui ont réussi sont dues, pour 90 % des cas, à des mesures de sécurité non appropriées ou sans gestion.
  2. Augmentation des escroqueries
    Les arnaques liées à des publicités malveillantes, démarchages, faux services d’assistance… progressent fortement.
  3. 99 % des attaques sont basées sur l’usurpation de mot de passe
    La faiblesse des mots de passe ou la réutilisation sont sources de succès pour les acteurs malveillants. L’adoption de l’authentification multifactorielle améliore la situation ainsi que la détection des menaces pilotée par IA et la mise en place d’accès uniques.
  4. Les acteurs étatiques travaillent de plus en plus avec les criminels
    Microsoft a identifié des groupes d’acteurs travaillant avec des acteurs étatiques. L’éditeur invite à la mise en oeuvre d’une surveillance continue et de mesures de cybersécurité robustes. Plus de 78 000 milliards de signaux de sécurité par jour ont été traités pour offrir un aperçu inégalé des cybermenaces mondiales.
  5. Les secteurs de l’éducation et de la recherche sont ciblés par des acteurs étatiques
    Ce secteur est le deuxième le plus touché après l’IT. Il s’agit d’un terrain d’essai pour de nouvelles techniques d’attaques telles que le hameçonnage par QR code. La formation et la vigilance permettent d’atténuer ces menaces.
  6. 6. L’IA et les campagnes de déstabilisation des démocraties
    La Chine, la Russie ou l’Iran mènent des attaques de déstabilisation avec des contenus générés par IA pour créer de la désinformation et perturber les processus démocratiques.
  7.  Renforcer la sécurité avec une red team
    L’IA devient essentielle pour la cybersécurité. La mise en place d’une red team permet de simuler des attaques et de s’entraîner pour identifier les vulnérabilités.
  8. Prendre des mesures proactives
    Microsoft a supprimé 730 000 applications non conformes. Les entreprises devraient prendre ces mesures pour éviter des menaces.
  9. Définir un cadre stratégique de protection
    La mise en place d’une hiérarchie des actions de sécurité pour différentes couches (identité, endpoint, sécurité numérique, détection des menaces, automatisation des opérations de sécurisation…) est nécessaire pour garantir un niveau de couverture et une résilience complète contre les menaces.
  10. Assurer une défense collaborative
    La collaboration entre les États et les industries d’importance vitale est primordiale pour faire face aux cybermenaces qui évoluent rapidement.

LES TENDANCES 2024 DES VULNÉRABILITÉS (RÉELLEMENT) EXPLOITÉES

© u_etaflffuni de Pixabay

On parle beaucoup de failles, de vulnérabilités. Mais quelles sont celles réellement exploitées? VulnCheck a voulu le savoir et a publié une étude : « 2024 trends in vulnerabiliy exploitation ».

  • En tout, 768 CVE publiées ont été exploitées, soit une hausse de 20 % sur 1 an selon ce rapport.
  • Le plus important est le chiffre suivant : 23,6 % des vulnérabilités ont été exploitées avant que la CVE soit publiée.
  • Autre constat : plus le temps passe, plus il y a de CVE exploitées si les correctifs ne sont pas déployés ou installés.

Conclusion : il faut être proactif et appliquer dès que possible les correctifs quand ils existent.

CHANNEL : LES REVENDEURS SONT TRÈS DEMANDÉS PAR LES RSSI FRANÇAIS

Une étude de Westcon-Comstor confirme que les revendeurs sont très demandés par les RSSI français.

Les responsables de la cybersécurité des grandes entreprises françaises prévoient d’augmenter leurs investissements en sécurité cloud en 2025, selon une étude1 réalisée par Westcon-Comstor. Ils comptent sur leurs revendeurs pour maximiser leur retour sur investissement et optimiser leurs capacités de sécurité.

Le fournisseur de technologies et distributeur spécialisé a interrogé 500 responsables de la sécurité et cadres supérieurs en sécurité dans des organisations de plus de 1 000 employés, réparties dans cinq pays : la France, l’Allemagne, l’Italie, les Émirats arabes unis et le Royaume-Uni.

Parmi les principales conclusions, en France, 81 % des responsables de la sécurité
prévoient d’investir dans la Cloud-Native Application Protection Platform (ou CNAPP) et d’autres technologies de sécurité cloud au cours des 12 prochains mois. Ce chiffre
est légèrement inférieur à la moyenne internationale de 83 %.

Sur l’ensemble des marchés géographiques, les trois principales priorités d’investissement sont la gestion de la posture de sécurité basée sur l’IA (AI Security Posture Management), la gestion de la posture de sécurité cloud (Cloud Security Posture Management) et la gestion de la posture de sécurité des applications (Application Security Posture Management).

En France, il existe un désir particulièrement fort d’investir dans l’analyse des API et la gestion de la posture de sécurité des données, avec respectivement 25 et 21 % des personnes interrogées qui les considèrent comme des priorités d’investissement.

Formation et accompagnement des revendeurs

La grande majorité des personnes interrogées (95 %) sur l’ensemble des marchés font actuellement appel à des revendeurs et des fournisseurs de services de sécurité managés pour l’achat et le déploiement de ces solutions.

La formation et l’accompagnement figurent parmi les avantages les plus valorisés des revendeurs aux yeux des responsables de la sécurité basés en France adoptant la CNAPP. En effet, 40 % d’entre eux les considèrent comme leur principale exigence, ce qui
témoigne d’une forte demande d’assistance pour acquérir les connaissances nécessaires à l’optimisation des capacités de sécurité dans le cloud.

Un peu moins d’un tiers (32 %) des répondants basés en France soulignent que l’accès rentable à de nouvelles solutions est la principale raison de s’engager avec des revendeurs, tandis que 29 % déclarent que ce qu’ils apprécient avant tout chez les revendeurs est l’aide pour naviguer sur le marché de la sécurité du cloud et pour identifier les meilleures solutions.

Interrogés sur les principaux moteurs de l’adoption de la CNAPP, les responsables de la sécurité ont mis en avant la nécessité de consolider les capacités dans une seule plateforme unifiée, réduisant ainsi la complexité et les angles morts liés à l’utilisation de plusieurs fournisseurs et outils de cybersécurité.

Parmi les autres facteurs de motivation figurent la nécessité d’intégrer les tests de sécurité et de conformité de manière transparente et le désir d’unifier la visibilité des risques dans les environnements cloud et le cycle de développement des applications.

Environ deux tiers (65 %) des responsables de la sécurité en France s’accordent sur la nécessité d’adopter une approche DevSec-Ops pour s’aligner sur la tendance shift left, qui voit les responsabilités opérationnelles se déplacer vers les développeurs et les architectes cloud. Ce chiffre est inférieur à la moyenne internationale de 75 %.

1 L’étude a été commandée par Westcon-Comstor et réalisée par Coleman Parkes entre le 10 et le 29 octobre 2024. 100 cadres ont été interrogés dans chacun des cinq pays où l’étude a été menée : France, Allemagne, Italie, Royaume-Uni et Émirats arabes unis.

 

 

Par la rédaction