L’année 2022 a fermé ses portes devant des RSSI et autres responsables de la sécurité probablement épuisés. L’année a été sans répit sur le plan de la cybersécurité, avec des adversaires qui ne cessent de se sophistiquer en adoptant des techniques et technologies de menaces toujours plus avancées pour contourner les mesures de sécurité des entreprises. Et 2023 n’annonce aucun repos.
Les ransomwares sont restés la cybermenace la plus dangereuse, la plus coûteuse et la plus répandue pour les entreprises de la région EMEA en 2022. Elles resteront bel et bien la menace la plus dommageable en 2023. En effet, selon l’étude Global Threat Report 2022 de CrowdStrike, les fuites de données liées aux ransomwares ont connu une augmentation annuelle édifiante de 82 % depuis le début de l’année, coûtant aux entreprises concernées 1,72 million d’euros en moyenne.
Cette popularité des ransomwares s’explique par une facilité d’utilisation et un rendement très lucratif pour les cybercriminels. Au cours des deux dernières années, il est devenu plus simple que jamais d’obtenir et d’utiliser des logiciels ransomware, grâce à un réseau de criminels qui fournissent des Ransomware-as-a-Service, des justificatifs d’identité volés, des services de paiement ou du blanchiment d’argent. Pour se lancer en tant que cybercriminel, il suffit donc d’avoir une carte de crédit opérationnelle. Ces réseaux et cette coopération entre les cybercriminels, visant à fournir une expertise et une automatisation, ne feront que s’intensifier au cours de l’année à venir. Les ransomwares ont donc encore de beaux jours devant eux, jusqu’à ce que les entreprises adoptent des outils de pointe qui mèneront les cybercriminels vers de nouvelles techniques plus rentables.
L’Europe également en danger
En 2023, tout porte à croire que les entreprises européennes seront tout autant touchées par les attaques cybercriminelles que le reste du monde. Si certains pays ont acquis une bonne compréhension des risques et des moyens de défense disponibles, en Europe, le tableau est plus fragmenté, avec de faibles niveaux de compréhension de la cybersécurité dans certaines zones de la région. Une partie des entreprises est en effet encore sceptique à l’égard des technologies basées sur le cloud et ont le sentiment d’avoir les mains liées lorsqu’il s’agit de faire les bons choix technologiques. Cela s’explique notamment par une mauvaise compréhension ou une confusion concernant les réglementations locales et les exigences en matière de confidentialité.
Ces positions évolueront avec le temps. En effet, il ne peut y avoir de protection des données sans sécurité. Des données volées ou divulguées ne sont plus privées, quelles que soient les lois ou réglementations applicables. Seules les solutions de cybersécurité de nouvelle génération, basées sur le cloud et exploitant les données du monde entier, sont à même de garantir la sécurité de tous les types de données.
De nombreux pays s’attendent à ce que leur économie se dirige vers une forte récession pour l’année à venir. La réduction des coûts fera l’objet de discussions dans de nombreuses entreprises, et les budgets de cybersécurité, qui ont augmenté – en moyenne – pendant plusieurs années consécutives, seront certainement examinés de près. Réduire et consolider le nombre de produits sous licence dans ce domaine peut s’avérer judicieux, même si le maintien des meilleurs niveaux de sécurité n’est négociable pour aucune entreprise.
Cependant, de nombreuses entreprises disposent de beaucoup plus d’outils qu’elles n’en ont besoin. Nos discussions avec les RSSI suggèrent qu’il n’est pas rare que les entreprises disposent de plusieurs solutions de cybersécurité. Cela ne les met pas pour autant à l’abri d’attaques et peut même nuire aux équipes de sécurité en raison de notifications et de vérifications redondantes ou excessives. En travaillant à la mise en place d’un point de contrôle unique et consolidé par le biais d’une plateforme unie, les analystes en cybersécurité pourront non seulement réaliser des économies, mais aussi gagner en productivité et en performance.
Le combat de 2023
En 2022, nous avons constaté une évolution significative des tactiques des adversaires en matière de ransomware. L’extraction de données sensibles et les tentatives d’extorsion reposant sur la revente ou de la publication de ces informations volées ont connu une nette augmentation. En effet, nous avons vu cette année un certain nombre de cas dans lesquels le cryptage traditionnel des données des victimes ne faisait pas partie de l’attaque, l’adversaire passant directement à la menace d’exposition des données, avec tous les dommages juridiques, réglementaires et de réputation que de telles fuites entraîneraient. Cette tactique d’extorsion représente potentiellement des millions d’euros pour chaque attaque, et peut être répétée sans le moindre effort supplémentaire par les attaquants, tant que les données conservent une valeur pour leurs propriétaires
Comme les années précédentes, les adversaires les plus efficaces et les plus sophistiqués se concentrent sur des techniques qui ne reposent plus sur des logiciels malveillants. Mais puisque les entreprises continuent de se concentrer sur les logiciels malveillants, ces attaques interactives offrent aujourd’hui un taux de réussite plus élevé aux cyberattaquants.
Elles représentent désormais 71 % des violations réussies, soit 50 % de plus que l’année précédente.
Pragmatiques, les cybercriminels se concentrent désormais sur les attaques basées sur l’identité. Au lieu de pirater le système d’une victime, ils se connectent tout simplement en utilisant des informations d’identification authentiques mais volées, disponibles sur le dark web notamment.
Cette hausse d’attaques sans logiciels malveillants, en forte croissance depuis 2019, place la protection de l’identité au coeur de la cybersécurité en 2023. En plus des mesures établies – et désormais bien comprises – sur l’intérêt de mots de passe robustes, les entreprises doivent adopter de nouvelles technologies développées spécifiquement pour que les criminels aient plus de mal à réussir des attaques basées sur l’identité. Si ce n’est pas déjà fait, les départements de sécurité doivent mettre en place une approche Zero-Trust et les technologies qui l’accompagnent. Ils doivent vérifier chaque profil présent sur le réseau et utiliser une variété de techniques pour valider la légitimité de son identité. Le partenaire technologique de l’entreprise doit proposer plusieurs moyens d’établir (ou non) cette légitimité. Les données de la société doivent être divisées, en fonction des besoins des différents rôles au sein de leur organisation. Un vendeur peut légitimement avoir besoin d’accéder aux dossiers des clients, par exemple, alors qu’une personne travaillant dans la production n’en a vraisemblablement pas besoin.
Aux côtés des identités, les API ont également pris une place importante en 2022, et c’est une tendance que nous verrons se poursuivre en 2023 et pour les années à venir. Gartner prédit d’ailleurs que ce type d’attaques sera le plus courant d’ici peu. De nombreux services cloud et SaaS sont accessibles et contrôlés par le biais d’API qui permettent d’étendre leurs fonctionnalités et le flux de données à travers différentes applications. C’est la clé de la puissance et de la popularité du cloud et du SaaS, mais comme toute autre technologie à croissance rapide, elle a bien évidemment attiré l’attention des cybercriminels. Nous avons assisté à un certain nombre d’attaques réussies dans ce domaine. Les entreprises les plus vigilantes en matière de sécurité ont déjà adopté des solutions capables d’ingérer et d’assimiler des signaux provenant de de leur parc informatique, comme de leurs endpoints.
Suivre les partenaires, pas la technologie
La technologie ne cesse d’évoluer à un rythme effréné, et il en sera de même en 2023. Toute personne ayant travaillé dans le domaine le sait : les outils et les processus qui constituaient la meilleure pratique en 2022 peuvent être considérés comme déjà obsolètes à la fin de l’année prochaine. Un renseignement précieux quand il s’agit de choisir son fournisseur. Il n’est pas très judicieux de se concentrer entièrement sur un produit ou une technologie particulière, car ceux-ci ont par nature une durée de vie courte. Les entreprises devraient plutôt choisir un fournisseur qui deviendra un partenaire dans les moments d’incertitude, qui s’adaptera et continuera à les soutenir à mesure que les technologies et les menaces évoluent. Une société partenaire fera preuve d’un soutien sans faille et durable aux côtés de ses clients. Cette relation sera basée sur la transparence, tant sur ses capacités actuelles que sa feuille de route.
___________________
Par Zeki Turedi, CTO EMEA, CrowdStrike
puis