2020 n’aura décidément pas été une année comme les autres, mais cela n’empêche pas de perpétuer la tradition des prédictions des tendances à venir.
Alors que les équipes de sécurité planifient leur feuille de route pour les prochains mois, il est important d’anticiper comment les acteurs de la menace vont faire évoluer leurs stratégies pour pouvoir y répondre.
Alors à quoi faut-il s’attendre dans le paysage de la cybermenace 2021 ?
# 1 : Les rançongiciels vont proliférer dans le cloud
Les attaques par rançongiciel vont rester la principale bête noire des RSSI. Attirés par l’appât du gain, les cybercriminels n’ont de cesse de développer de nouvelles techniques d’extorsion, comme les attaques de « breachstortion » qui consistent à faire chanter les victimes en les menaçant de dévoiler leurs données volées sur la place publique ou de les vendre sur le « Dark Net ». En raison de la pandémie et du développement du télétravail lié, la migration des entreprises dans le cloud va s’accélérer, et la menace va suivre la même voie. Outre OneDrive et SharePoint, les environnements de type S3 et Azure vont devenir à risque. De nombreuses entreprises stockent en effet une grande partie de leurs applications et données sensibles dans le cloud, mais sans réelle visibilité, ni de niveaux de sécurité ou de sauvegarde suffisants. Le stockage dans le cloud va vite devenir une cible majeure.
#2 : Les malware vont continuer de capitaliser sur le facteur humain et de s’affranchir de fichiers
L’email reste le principal vecteur d’infection initiale et 99% des attaques qui passent par ce canal ont besoin d’une action humaine pour être activées. Les cybercriminels sont conscients que d’autres moyens de propagation sont possibles (comme les passerelles VPN non patchées), mais la garantie de succès est moindre, grâce au travail continu des professionnels de la sécurité et à la relative rareté des vulnérabilités utilisables dans les systèmes directement connectés à Internet. Les acteurs de la menace tentent ainsi de cibler les utilisateurs les plus vulnérables, pour les convaincre de prendre des mesures qui compromettent leurs systèmes. Pourquoi s’embêter à pirater une infrastructure quand il suffit d’un clic pour activer des macros .
En outre, les « malware sans fichiers » vont continuer à se développer. Du point de vue d’un acteur de la menace, quel meilleur moyen d’éviter la détection des logiciels malveillants que de ne pas en utiliser ? A la place, on peut s’attendre à ce que les attaquants continuent d’utiliser les LOLBins et LOLScripts (« Living off the land Binaries/Scripts ») pour compromettre les systèmes et dérober les données. Les entreprises ont tout intérêt de s’efforcer à détecter et prévenir l’utilisation malveillante de ces LOLBins. Elles pourront ainsi mettre un terme aux compromissions initiales, en limitant au maximum l’utilisation d’outils comme PowerShell.
#3 : Les attaques de type BEC vont rester la menace la plus coûteuse.
La compromission des emails professionnels (BEC, Business Email Compromise) va s’intensifier. Coûtant chaque année plusieurs milliards de dollars aux entreprises selon le FBI, les attaques de type BEC sont à l’origine de la majorité des déclenchements de cyber-assurance. Les cybercriminels vont ainsi être tentés d’augmenter leurs potentiels de gains en franchissant l’étape supplémentaire qui consiste à compromettre un compte utilisateur en se faisant passer pour un utilisateur légitime (EAC, Enterprise Account Compromise).
#4 : De nouvelles techniques vont émerger pour contourner l’authentification multifactorielle
Si l’authentification multifactorielle (MFA) est largement considérée comme le meilleur moyen de protéger l’accès aux systèmes d’entreprise, force est de reconnaître qu’il ne s’agit pas d’une solution miracle. Les attaquants ont commencé à mettre au point des mécanismes pour contourner ce dispositif en exploitant des protocoles plus anciens ou en créant de nouveaux types d’attaques (comme le phishing OAuth). Cette tendance devrait s’accentuer tout au long de l’année chez les cyberattaquants les plus avancés.
#5 : L’automatisation de la sécurité va se renforcer
La pénurie de talents est un problème constant dans le domaine de la sécurité. Automatiser certaines fonctions de sécurité est donc devenu critique, de l’administration des comptes utilisateurs, à la gestion de pares feux, en passant par la création de mesures de réaction, d’alertes et des règles des SOC, les surveillances de type DLP, etc. Jusqu’alors, dès que l’on avait besoin d’adopter des fonctionnalités nouvelles, on procédait principalement à l’achat d’outils supplémentaires auprès de fournisseurs. Dans les mois à venir, l’automatisation dans la cybersécurité va devenir un standard incontournable afin de tirer le meilleur des outils existants et de leur intégration pour obtenir la meilleure visibilité possible …
#6 : Les budgets sécurité vont augmenter mais de manière insuffisante
Beaucoup d’entreprises ont vu leurs ressources et leurs budgets diminuer pendant la pandémie. Les budgets devraient se libérer et remonter dans les prochains mois mais le manque de personnel qualifié restera un défi. Offrir des postes flexibles ou en télétravail aidera à recruter, mais le problème de l’augmentation des salaires persistera. Par conséquent, de nombreuses entreprises plus petites ou en région ne pourront se procurer les nouveaux talents dont elles pourraient pourtant avoir bien besoin à moins que, pour certaines, cette localisation ne devienne un avantage.
#7 : La collaboration entre les groupes de cybercriminels va s’intensifier
Les trois méthodes de menace les plus utilisées par les cybercriminels sont la compromission d’emails professionnels (BEC), la compromission de compte de messagerie (EAC) et les rançongiciels. Paradoxalement les acteurs spécialisés dans le BEC et l’EAC ne font pas toujours office de revendeurs d’accès initial pour les cybercriminels spécialisés en rançongiciels, même s’ils ont les accès nécessaires. Il en est de même pour les acteurs de la menace axés sur les rançongiciels qui n’envisagent pas d’exploiter les attaques de type BEC et EAC. Ces comportements risquent très fortement de changer, car les acteurs de la menace collaborent de plus en plus pour créer des attaques encore plus efficaces et générer des profits plus élevés. Ainsi par exemple, il sera beaucoup plus fréquent de voir des entreprises exploitées par des attaques EAC, dont les accès sont ensuite « revendus » à un autre groupe pour organiser des attaques par rançongiciel.
Il n’y a aucun doute que les mois à venir seront ceux de nouveaux défis pour les responsables sécurité de l’information, dont la meilleure défense reste encore à ce jour une stratégie centrée sur les personnes, pour protéger in fine les canaux numériques clés dont ils ont besoin pour travailler.
___________________
Par Loïc Guézo, Directeur Stratégie Cybersécurité EMEA, Proofpoint