Le début de l'année est un moment propice à la prise de bonnes résolutions. En ce mois de janvier 2022, tous les signaux sont au rouge, pour toutes les entreprises, en termes de risque cyber. Il nous est alors apparu clé d’étudier le paysage des menaces pour ainsi voir quels changements il est possible d’opérer pour mieux aborder l'année à venir. Car ce qui est certain c’est que toutes les entreprises sont concernées et il convient alors de prendre des décisions et de mettre en place des règles de base.
Voici quelques-unes des leçons que nous avons tirées et les conseils qui en découlent pour aider les entreprises à vivre au mieux cette nouvelle année qui débute.
Retour sur les principales attaques de 2021
L'année cyber 2021 a été riche en événements, avec un certain nombre de cyberattaques majeures. Les attaques les plus importantes et les plus inquiétantes que nous avons observées se sont classées dans les quatre catégories suivantes, qui devraient rester les principales menaces en 2022.
Le Ransomware
2021 a vu la poursuite des tendances qui avaient débuté fin 2019. Les attaques par ransomware ont en effet atteint de nouveaux niveaux de sophistication. Cela inclut la prévalence de :
- Le Ransomware-as-a-service. Les ransomwares ne sont plus le fait d'acteurs de menaces uniques. De vastes marchés d'opérateurs de ransomware à louer et de logiciels malveillants prêts à l'emploi sont désormais disponibles, ce qui augmente la taille et la portée des attaques.
- Les attaques à double extorsion. Elles représentent désormais plus de 50 % des attaques par ransomware. Dans les attaques à double extorsion, les acteurs de la menace volent des données en plus de les chiffrer, ce qui leur donne plus de poids pour exiger des rançons importantes.
- Les attaques contre les grandes entreprises. En raison de la tendance du ransomware-as-a-service et de la double extorsion décrites ci-dessus, de nombreuses grandes entreprises sont touchées par les ransomwares, souvent avec des répercussions au niveau mondial. Les attaques contre Colonial Pipeline, CNA Financial et le Health Service Executive of Ireland sont trois exemples de ces attaques très médiatisées.
Les attaques contre la chaîne d'approvisionnement
Le rapport State of Encrypted Attacks a révélé que les attaques SSL contre les entreprises de la tech ont augmenté de 2 344 % en 2021 par rapport à 2020. Une grande raison de cette augmentation est la volonté de cibler le code logiciel. Si les attaquants parviennent à infecter le code, ils peuvent ensuite mener des attaques auprès d’autres entreprises de l’écosystème de ces entreprises de la tech et ainsi toucher la "chaîne d'approvisionnement" de certaines organisations. Deux exemples majeurs illustrent cette situation.
- L'attaque SUNBURST de SolarWinds. Bien que techniquement réalisée en 2020, les organisations étaient encore confrontées aux retombées de l'attaque de SolarWinds en 2021. Dans cette attaque, les acteurs de la menace ont exploité une porte dérobée dans le produit SolarWinds Orion qui a transmis un code malveillant à 18 000 clients.
- L’attaque de Kaseya. Le groupe de ransomware REvil a exploité une vulnérabilité de type "zero-day" dans l'outil de surveillance à distance Kaseya VSA, diffusant un ransomware aux clients de Kaseya. Plus de 1 000 entreprises utilisant la version sur site du logiciel Kaseya ont vu leurs données chiffrées.
Les exploits de type "zero-day"
Les attaques zero-day ne sont pas propres à l'année 2021, mais nous venons peut-être de vivre la pire attaque de la décennie avec la récente attaque Log4Shell visant la très populaire bibliothèque JAVA Apache Log4j. Plus tôt cette année, nous avons assisté à l'attaque de Microsoft Exchange Server, qui a tiré parti non pas d'une mais de quatre vulnérabilités différentes. Ces incidents soulignent la nécessité de réduire la surface d'attaque (notamment en réduisant l'exposition des applications à Internet) et de limiter l'impact des exploits en mettant en œuvre une micro segmentation granulaire.
Les menaces persistantes avancées (APT)
Si les ransomwares ont fait la plupart des gros titres cette année, les APT restent les menaces les plus inquiétantes en raison de leurs ressources et de leur extrême sophistication. En 2021, les attaques notables ont inclus :
- Cloudfall, dans laquelle le groupe APT CloudAtlas a ciblé des chercheurs et des scientifiques avec une attaque basée sur Microsoft Word.
- DarkHotel, un groupe APT qui cible les cadres par le biais des systèmes WiFi des hôtels de luxe.
Certaines des tendances les plus inquiétantes de cette année ont impliqué des chevauchements des quatre catégories ci-dessus. Par exemple, les gangs de ransomware utilisent des vecteurs de chaîne d'approvisionnement pour cibler un grand nombre d'entreprises, comme l'a montré l'attaque de la chaîne d'approvisionnement de Kaseya. En outre, les acteurs étatiques ont continué à tirer parti d'exploits "zero-day" comme la vulnérabilité d'Exchange Server et, plus récemment, Log4Shell.
Quelques conseils pour 2022
Pour optimiser la sécurité des entreprises en 2022, voici quelques conseils à mettre en pratique.
- Réduire la surface d'attaque. Les acteurs de la menace ne peuvent attaquer que ce qu'ils peuvent voir. Plutôt que de publier des applications sur Internet, il convient de les déplacer derrière un proxy basé sur le cloud qui négocie l'accès en fonction de l'identité et du contexte.
- Mettre en oeuvre une politique de sécurité cohérente pour éviter toute compromission initiale. Avec une main-d'oeuvre distribuée, il est important pour les organisations de mettre en oeuvre une architecture de service de sécurité en périphérie (SSE) qui peut surveiller et appliquer une politique de sécurité cohérente, quel que soit l'endroit où les utilisateurs travaillent (au bureau ou à distance).
- Inspecter le trafic chiffré. Plus de 80 % de toutes les menaces utilisent désormais des canaux chiffrés. Il convient alors de décrypter, détecter et prévenir les menaces dans tout le trafic HTTPS grâce à une architecture basée sur un proxy natif du cloud qui peut inspecter tout le trafic de chaque utilisateur.
- Mettre en quarantaine les attaques inconnues et arrêter les logiciels malveillants grâce à une sandbox pilotée par l'IA qui retient le contenu suspect pour analyse, contrairement aux autres approches basées sur les pares-feux.
- Mettre en œuvre une architecture d'accès réseau Zero Trust. Segmenter les environnements de la manière la plus granulaire possible et mettre en place des contrôles dynamiques d'accès grâce au Principe du Moindre Privilège (PoLP) pour éliminer les mouvements latéraux et réduire la surface d'attaque externe. Cela inclut les communications utilisateurs / applications, applications / applications et applications / Internet, qui peuvent perturber les attaques de la chaîne d'approvisionnement, entre autres.
- Déployer un système de prévention des pertes de données en ligne. L'inspection du trafic sortant est aussi importante que l'inspection du trafic entrant. Empêcher l'exfiltration d'informations sensibles à l'aide d'outils et de politiques de prévention des pertes de données basés sur la confiance est clé pour déjouer le vol de données.
- Mettre à jour les logiciels et se former régulièrement. Il convient d’appliquer les correctifs de sécurité des logiciels et d’organiser régulièrement des formations et autres sessions de sensibilisation à la sécurité, pour les employés.
- Mettre en place un plan d'intervention. Se préparer au pire avec une cyberassurance, avoir un plan de sauvegarde des données et un plan d'intervention dans le cadre du programme global de continuité des activités et de reprise après sinistre.
Au niveau mondial, la prise de conscience du risque cyber émerge. Deux responsables sur trois (69%) interrogés par le cabinet PwC prévoient une augmentation de leur budget de cyber sécurité en 2022. Toutefois, ces augmentations paraissent encore de faible ampleur.
Parce qu’on ne sait pas de quoi 2022 sera fait, il convient, à minima, de suivre et mettre en place les règles de bases indiquées ci-dessus.