Avec des cyberextorsions en pleine croissance, des APIs régulièrement prises pour cibles et une propagation systématique des menaces par mouvements latéraux, les entreprises devront accroitre leur capacité de détection des intrusions et renforcer leur offre de formations pour faire face à des attaques toujours plus sophistiquées.
VMware partage aujourd’hui les principaux enseignements tirés de l’année 2022 et donne un aperçu des problématiques auxquelles les équipes de cybersécurité devront faire face l’année prochaine.
Bien que la plupart des entreprises aient mis à jour leurs tactiques de réponse aux attaques, elles reconnaissent leur vulnérabilité face à des menaces qui ne cessent de gagner en sophistication et qui sont élevées par le contexte géopolitique actuel : ainsi, 65% des personnes interrogées dans le cadre du Global Incident Threat Report remarquent une hausse des cyberattaques depuis l’invasion de l’Ukraine par la Russie.
La puissance technologique et financière des organisations criminelles (cyber-cartels) et l’implication grandissante de groupes soutenus par des états sont autant d’alertes sur la nécessité pour les équipes de sécurité informatiques de repenser leurs stratégies.
Elles auront cinq grands défis à relever l’année prochaine : investir dans des technologies évolutives, détecter les mouvements latéraux, faire face aux attaques via API, maîtriser la progression des deepfakes et se préparer à une éventuelle cyberguerre. Vmware vous en dit plus sur ces défis !
1/ Des stratégies innovantes pour contrer des tactiques de plus en plus sophistiquées
L’innovation comme réponse aux menaces : voici ce dans quoi le secteur de la cybersécurité a le plus progressé en 2022. Selon le Global Incident Threat Report, les professionnels de l’IT s’efforcent de déployer de nouvelles techniques à l’image des patchs virtuels, afin de réagir rapidement aux incidents et de contrer l’activité des cybercriminels. Bien que les acteurs malveillants d’aujourd’hui disposent d’un éventail de tactiques d’évasion impressionnant, la majorité des cyberattaquants ne parviennent à passer généralement que quelques heures (43 %) voire quelques minutes (26 %) sur l’environnement qu’ils ont infiltré avant d’être détectés et qu’une enquête ne soit lancée.
Le délai de réponse aux menaces étant essentiel à la protection des systèmes et réseaux, les entreprises doivent se montrer capables de faire face aux cyberattaques les plus sophistiquées et optimiser leurs méthodes de réponse, première étape pour éviter que les attaques malveillantes ne s’intensifient.
2/ Un nouveau champ de bataille
Les mouvements latéraux représentent une menace grandissante pour les équipes de sécurité, ces techniques de propagation ont été négligées et sous-estimées par les organisations : ainsi, près de la moitié des intrusions constatées en avril et mai de cette année incluaient un mouvement latéral, la plupart impliquant des outils d’accès à distance (RAT) ou utilisant des services existants et légitimes, à l’image du protocole RDP ou de PsExec.
En 2023, les cybercriminels devraient continuer à exploiter ces protocoles de connexion pour se faire passer pour des administrateurs systèmes. À l’approche de la nouvelle année, les RSSI doivent donc intégrer en priorité des outils de détection et de réponse aux menaces sur les serveurs et l’infrastructure, afin de protéger les applications et les données critiques que les cybercriminels pourraient cibler.
3/ La nouvelle frontière des cybercriminels : les API
Cette année, les tactiques des cybercriminels continueront d’évoluer à mesure que ceux-ci chercheront à mettre un pied dans les environnements des organisations. Un des principaux objectifs de ces tentatives d’accès est de mener des attaques via les API des applications modernes en pleine prolifération, cela représentait en 2022 quasiment un quart des attaques observées. Généralement, la plupart du trafic au sein de ces applications modernes n’est pas supervisé et cette absence de surveillance crée un terrain propice pour les mouvements latéraux servant de base aux attaques de grande ampleur. Les API sont la nouvelle frontière pour les cybercriminels et deviennent un vecteur privilégié pour perpétrer et distribuer des attaques au sein des organisations, on utilise le terme d’attaque progressive par API (progressive API attacks).
4/ Le boom des deepfakes
En 2022, le recours aux deepfakes a explosé. Cette tactique est passée d’un usage récréatif à un usage professionnel néfaste touchant les entreprises de toutes tailles. Deux tiers (66 %) des organisations ont assisté à une attaque de ce type au cours des 12 derniers mois. Cette année, leur incidence devrait donc continuer à augmenter. A ce titre, Les entreprises doivent agir de manière proactive pour réduire les risques en investissant dans des logiciels de détection, et en misant sur la formation de leurs salariés.
5/ Le risque d’une escalade
En 2023, les infrastructures critiques seront d’autant plus vulnérables car la recherche et l’exploitation de vulnérabilités non connues disposent de moyens humains, techniques et financiers colossaux. La cyberoffensive russe, avec ses attaques visant à mettre hors de fonctionnement des services essentiels en ciblant par exemple des infrastructures énergétiques et de communications, a révélé l’existence d’un nouvel ordre en matière de conflits. L’Etat ukrainien, au système de défense mature, a, lui, prouvé que dans tout conflit armé moderne, la pièce centrale réside dans l’adoption de tactiques innovantes pour lutter face aux cyberattaques.
Une généralisation des bonnes pratiques
En ce début d’année les principaux objectifs des cybercriminels restent les mêmes : accéder aux environnements, subtiliser des identifiants, se déplacer d’une cible à l’autre, récupérer des données et les monétiser. Trop souvent les équipes de sécurité n’ont pas le niveau de visibilité adéquat sur les menaces latentes pour prendre les bonnes décisions, en temps voulu.
Pour accroître l’efficacité de leurs systèmes de défense, elles doivent adopter une approche Zero Trust, se concentrer sur le comportement de leurs applications de manière globale, inspecter minutieusement les communications, intégrer leurs outils de détection et de réponse aux menaces pour les endpoints et le réseau, et chercher à identifier les menaces de manière constante.