Le panorama des menaces cyber en 2021 : les entreprises face au risque cyber

Une fois les enjeux et les risques pour les entreprises identifiés et compris, le panorama de la menace cyber permet de poser les bases de l’utilisation de la CTI pour accompagner sa stratégie de sécurité.  

Le constat est clair : les attaques sont toujours plus fréquentes et sophistiquées le risque cyber est devenu un enjeu économique majeur pour toutes les entreprises et les faits d’actualité confirment cette tendance : rançongiciels, extorsions, fraudes au président, attaques opportunistes, Phishing, fuites de données, tous ces termes inondent depuis quelques années les news des rubriques « tech » des sites d’actualités. 

Au-delà de ce constat, l’élargissement de la surface d’attaque, avec notamment l’adoption du Cloud et l’augmentation des activités à distance, en particulier le télétravail, ont participé à cette multiplication des risques et des vulnérabilités auxquels se confrontent les entreprises.  

3 vecteurs d’attaque privilégiés par les attaquants 

Les entreprises sont aujourd’hui la cible de trois cybermenaces majeures : 

  1. Des composants obsolètes ou non maintenus à jour exposés à tous vent 
  1. Des emails et pièces jointes piégées misant sur la crédulité des utilisateurs  
  1. L’utilisation d’identifiants (propre à l’entreprise ciblée ou à des partenaires) faibles, volés ou achetés sur le Dark Web (Business Email Compromise). 

Il faut garder en tête que dans la plupart des cas, ces attaques sont principalement opportunistes. Une porte laissée ouverte par mégarde ou un simple manque d’attention lors de l’ouverture d’un email et les cybercriminels s’engouffrent dans la brèche. 

Shadow IT, Cloud et maitrise de son exposition 

Avec la généralisation du télétravail et l’utilisation massive des services Cloud et la contractualisation à outrance des solutions SaaS et des prestataires tiers par les entreprises, les DSI ont de plus en plus de mal à contrôler et surveiller l’exposition de leur SI. Comment assurer une sécurité adaptée et continue sans maitriser complètement votre périmètre ? 

Les risques de Shadow IT tout comme le maintien en condition de sécurité du périmètre « connu » constituent l’une des causes principales de risques cyber. 

Les attaquants ont bien pris en compte ces problèmes et continuent de réduire la fenêtre de tir entre la publication d’une vulnérabilité et son exploitation. Les attaquants profitent du temps nécessaire aux entreprises pour déployer les correctifs disponibles pour cibler en « ratissant large » via la réalisation de scans sur Internet. On peut noter que 5 produits affectés par des vulnérabilités importantes ont été particulièrement exploitées depuis le début de l’année : Exim (serveur de messagerie) / Pulse Connect Secure (VPN SSL) / Exchange / SonicWall SMA / F5 BIG-IP / VCenter (voir seconde question). 

Le social engineering : l’utilisateur est-il le maillon faible de la cybersécurité ? 

Le Phishing et les attaques de social engineering restent toujours aussi prisées par les attaquants.  

Démarche simple abusant de la naïveté des victimes, les vols de mots de passe sont devenus une des portes d’entrée faciles pour les attaquants. 

Pourquoi changer une attaque qui fonctionne et qui ne coûte presque rien ! Une simple réplication d’une mire Office365, un email indiquant « partage » un document Microsoft et le tour est joué, les pirates ont accès aux boites mail Office de leurs victimes. Elles rediffusent ensuite à tout le carnet d’adresses un autre email pour piéger un grand nombre de victimes jusqu’à tomber sur « le » compte d’un VIP ou du trésorier pour pouvoir, de manière plus ou moins astucieuse et visible, engendrer un paiement vers un pays exotique (fraude au président) ou accéder à des fichiers confidentiels qui seront pris en otages ! 

Pire encore, le spear-phishing ou l’ouverture d’une pièce jointe malveillante (contenant une macro) permettra, elle aussi, au pirate d’avoir un accès encore plus direct au réseau de la société victime de l’attaque… 

Le sixième baromètre annuel du CESIN révèle que le Phishing demeure le vecteur d’attaque le plus fréquent pour 80% des entreprises. De la même manière, un récent rapport sur l’état de la menace liée au phishing publié par Proofpoint indique que plus d’une entreprise française a subi une attaque réussie en 2020. 

Le vol ou la réutilisation de mots de passe  

Le dernier vecteur en vogue concerne la réutilisation des nombreux mots de passe que chacun utilise au quotidien, que ce soit dans son environnement personnel comme professionnel.  

La multiplication des identifiants devient une véritable problématique à gérer. Les piratages massifs de sites non protégés facilitent ainsi l’échange et la revente de milliards de mots de passe qui se retrouvent du jour au lendemain dans la nature, prêts à être utilisés par les cybercriminels ! 

Ces attaques baptisées « password stuffing » et « password spraying » sont ensuite menées sur des cibles de choix et peuvent avoir un effet dévastateur… 

Les collaborateurs sont donc une nouvelle fois à l’origine de ces mauvaises pratiques (un mot de passe personnel partagé dans son environnement professionnel) ce qui offre, par mégarde, encore un risque complémentaire aux autres. 

Des tendances et évolutions influencées par la pandémie et l’accès au Cloud 

Le Cloud étend sa toile et les menaces 

L’adoption du Cloud, considéré comme le principal vecteur de la transformation numérique des entreprises, est massive. Pour autant les risques liés au Cloud demeurent, ils s’en trouvent même amplifiés. Une entreprise sur deux pointe le risque de ne pas maîtriser la chaîne de sous-traitance de l’hébergeur et le risque de rebond des attaques via ce dernier, ainsi que des difficultés dans le contrôle des accès.  

Une attention particulière doit être portée aux plateformes de collaboration, en particulier Microsoft 365, souvent associée à l’hébergement de menaces dans le Cloud. Avec la pandémie, 97% des entreprises françaises ont étendu leur utilisation de Microsoft Office 365, mais 71% d’entre elles ont été victimes de 7 compromissions de compte utilisateurs légitimes en moyenne sur l’année 2020 (source Vectra). 

La démocratisation du télétravail 

C’est un effet inattendu de la pandémie, la démocratisation du télétravail pourrait avoir involontairement créé une culture d’entreprise dans laquelle les collaborateurs sont réticents à signaler des problèmes de sécurité. Un collaborateur qualifié de non technique sur deux (48%)* serait réticent à signaler les menaces de sécurité auxquelles il serait confronté (étude « Building a Cyber Smart Culture » de Fujitsu). Faut-il pour autant leur jeter la pierre alors que la pandémie a créé une situation inédite à laquelle peu d’organisations étaient préparées ? Les entreprises ont généralisé l’usage des services Cloud, trop souvent sans former les utilisateurs. Et pour favoriser l’accès aux réseaux et aux données à partir d’équipements personnels et de connexions privées non sécurisées, elles ont assoupli les restrictions de sécurité. Un chef d’entreprise sur deux (54%)* reconnaît que les politiques de sécurité n’ont pas évolué convenablement face aux changements dans l’organisation du travail. Les collaborateurs distants se montrent également réticents à soulever les questions de sécurité. Voilà qui aura favorisé l’augmentation des surfaces d’attaque. 

La Covid-19 vectrice de menaces numériques 

La pandémie a entraîné la plus grande migration de l’histoire vers le travail à distance. Les cyberpirates se sont largement emparés de la crise sanitaire et des effets du Covid pour apporter de nouveaux risques. Plus d’un responsable sécurité sur trois (37%) attribue ces risques à la généralisation du télétravail. Ainsi, les rançongiciels ont affiché une croissance de 62% à l’échelle mondiale (source SonicWall). Selon un rapport de l’Unit42, au niveau mondial, les incidents de sécurité dans le Cloud ont connu des pics liés à la crise Covid, de 402% pour le commerce de détail, 230% pour l’industrie manufacturière et 205% pour les administrations (Palo Alto Networks). On le voit ici, tous les secteurs sont concernés. Et si les entreprises ont rapidement déporté une grande partie de leur charge de travail dans le Cloud pour répondre à la pandémie, elles ont depuis des difficultés à automatiser la sécurité dans le Cloud et à limiter les risques qui y sont liés. 

D’autre part, la démocratisation du télétravail pourrait également avoir involontairement créé une culture d’entreprise rendant les collaborateurs réticents à signaler des problèmes de sécurité. Un collaborateur qualifié de non technique sur deux (48%) serait réticent à signaler les menaces de sécurité auxquelles il serait confronté (étude « Building a Cyber Smart Culture » de Fujitsu). Malheureusement, les entreprises ont souvent généralisé l’usage des services Cloud sans proposer aux utilisateurs des formations adaptées. L’assouplissement des mesures de sécurité pour faciliter l’accès aux réseaux et aux données à partir d’équipements personnels et de connexions privées non sécurisées est également source de nouvelles menaces.  

Les menaces sur les dispositifs mobiles de l’entreprise 

Nous l’avons évoqué, la progression de la pratique du télétravail est un facteur d’augmentation du risque cyber. Cette pratique est à rapprocher de celle plus large de la mobilité. En 2020, 97% des entreprises, soient quasiment toutes les entreprises, ont subi une attaque de malware (application malveillante) mobile au cours de l’année (source Check Point). Ces applications ont principalement été téléchargées par les employés via des spams les invitant à découvrir des informations liées à la crise Covid-19. À quoi servent ces malwares mobiles ? Principalement à dérober les identifiants bancaires mobiles (Trojan bancaire) ou à composer des numéros premium. 

De l’intrusion initiale à l’exécution d’un rançongiciel 

L’enchainement d’une intrusion, aboutissant très souvent à l’exécution d’un rançongiciel, suivent globalement le schéma suivant : 

Première étape, les attaquants utilisent 3 vecteurs principaux comme porte d’entrée vers les systèmes d’informations des entreprises. 

Deuxième étape, une fois installés sur le réseau, les attaquants pivotent puis progressent afin de trouver le moyen d’exécuter leurs logiciels et finalement exécuter le fameux rançongiciel, se répliquant ainsi sur tout ou partie du réseau.  

Troisième étape, ces groupes font pression sur leurs victimes de différentes manières (chiffrement des données, vols d’information, divulgation des informations les plus sensibles, revente éventuelle des données dérobées, délit d’initié pour manipuler le cours des actions, voir chantages auprès des collaborateurs ou des clients de la victime). 

L’arme favorite des cybercriminels reste clairement le rançongiciel. Ce nouveau business extrêmement lucratif est désormais répandu chez tous les groupes de pirates. On ne compte plus le nombre de rançongiciels en circulation, ni le nombre de groupes spécialisés dans ce domaine. 

Selon le CESIN, qui réunit les responsables sécurité des systèmes d’information des grandes organisations françaises, en 2020, une grande entreprise sur cinq aurait été victime d’une attaque par rançongiciel. Ces attaques dont le but est de bloquer les systèmes informatiques de la victime sous réserve que celle-ci verse une rançon. De plus en plus organisés, les groupes d’attaquants proposent aujourd’hui des kits prêts à l’emploi pour déployer des rançongiciels. Cette pratique du « rançongiciel as a service » passe la majorité du temps par un abonnement ou un partenariat entre les deux entités criminelles. 

Les rançongiciels ont touché des centaines d’entreprises, des collectivités, le secteur de l’éducation et celui de la santé qui continuent d’en faire les frais chaque semaine, ainsi que les très grandes entreprises. Et malheureusement, le paiement des rançons (par la société victime ou par les cyberassurances) ne cesse de mettre de l’eau dans le moulin pour financer encore d’autres services cybercriminels.  

Il faut maintenant se poser la question du « pourquoi » ? Comment les pirates arrivent-ils si facilement à pénétrer les réseaux informatiques des entreprises pour y déposer tranquillement un logiciel qui fait tant de dégâts. 

Lutter contre une cybercriminalité organisée… et financée ! 

L’organisation de l’écosystème des cybercriminels et des moyens/ressources mis à disposition pour les attaques augmente toujours, avec des attaques de plus grande envergure et de plus en plus liées à des états.  

La professionnalisation des groupes présents sur le Dark Web se ressent également avec la revente de services toujours plus originaux. Leur organisation se rapproche d’une entreprise avec des gangs dédiés sur certains types de services, des personnes responsables du marketing et des ventes. La démocratisation des crypto-monnaies leur a notamment permis de monnayer plus facilement les reventes de services ou produits illicites. 

L’activité du rançongiciel a généré plusieurs centaines de millions de dollars. Darkside, un des groupes les plus connus et actifs, aurait infecté 99 organisations dont 47 d’entre elles auraient réalisé un paiement avoisinant au total 90 millions d’euros selon le site DarkTracer. 

Dernière actualité en date, une cyberassurance aurait, quant à elle, payé la plus grosse rançon de l’histoire, soit 40 millions de dollars… 

Voilà déjà quelques raisons qui poussent à s’outiller et à comprendre les vecteurs d’attaques utilisés, à savoir comment les attaquants progressent sur un réseau pour identifier les modes opératoires utilisés. En effet, comme toute entreprise, les attaquants misent sur la maximisation du profit en automatisant autant que possible chaque étape d’une attaque. Leur but est de faire le plus de victimes dans le moins de temps possible tout en espérant générer le maximum d’argent à la sortie. Leur « signature » d’intrusion, d’outils et de déplacement suit donc une industrialisation qui peut être identifiée et donc contrée… 

Les entreprises premières victimes des États-nations 

Autre phénomène moins connu, mais en forte augmentation, le cyberespionnage représente une menace difficile à chiffrer mais considérée par 56% des RSSI comme élevée et ce, particulièrement dans les secteurs stratégiques. Les conséquences des cyberattaques représentent pour les RSSI, des impacts considérables notamment sur le business (57%) comme sur la production (27%).  

Parmi les menaces émergentes qui risquent de prendre de l’ampleur dans les années à venir se trouve le risque lié aux activités États-nations. Cette menace, dont on mesure rarement l’étendue, se livre dans l’ombre au travers d’une véritable cyberguerre, pour déstabiliser les États, mais pas seulement. Autre conséquence de la pandémie, ces derniers se sont engouffrés dans l’opportunité que représente la Covid-19 pour multiplier les attaques et élever les tensions de manière inquiétante. Sont principalement concernés les entreprises (en particulier la chaîne logistique), la cyberdéfense, les médias, les institutions gouvernementales et les organismes de régulation et les infrastructures critiques. Ainsi les entreprises sont les premières victimes des incidents de sécurité liés aux États-nations, principalement de la surveillance, pour dérober des brevets et des données, dont les vaccins contre la Covid-19. 

Ces menaces diverses ciblent les entreprises sur différents maillons de la chaîne de valeur. Qu’il s’agisse de la coupure de service avec des attaques par rançongiciel, de fraude ou d’usurpation d’identité avec des attaques de phishing ou même de compromission de systèmes au travers de campagnes organisées par des États-nations, les entreprises sont aujourd’hui attaquées de toutes parts et n’ont pas toujours une visibilité optimale sur leur exposition et sur l’exploitation de leurs failles. 

Les politiques de sécurité interne ainsi que la protection des réseaux de l’entreprise ou des échanges au sein de réseaux sécurisés sont primordiales cependant ils sont aujourd’hui bien insuffisants. Adopter la posture des attaquants en identifiant, d’un point de vue extérieur, ce qui peut être utilisé pour nuire et cibler l’entreprise est tout l’enjeu de la CTI. En connaissant vos failles et votre exposition, il est plus simple d’identifier les menaces et les risques induits par l’exploitation de ces failles. 

CERT-XMCO

Découvrir d'autres articles