Cybereason : tendances et prévisions 2022

50 %
Les cyberattaques par ransomware en 2020 ont augmenté de 50%.

Le froid est bien là et avec lui le signe que 2021 touche à sa fin. C’est alors pour moi l’occasion de revenir sur l’année qui vient de s’écouler et de réfléchir aux possibilités que nous offre la nouvelle année à venir.

Dans le monde de l’entreprise, le mois de décembre est propice au partage de prédictions. C’est une tradition de fin d’année amusante, qui peut également fournir un aperçu précieux des prochaines tendances et aider les entreprises à se préparer à ce qui se profile à l’horizon.

« Prédictions »

En passant en revue les prédictions des années précédentes et en examinant certaines des prédictions de 2022 qui déferlent déjà sur Internet, j’ai remarqué que nombre d’entre elles ne sont pas vraiment des « prédictions ». Ce ne sont qu’une liste de mots tendance, les « buzzwords », ou de sujets qui gagnent déjà du terrain, que quelqu’un a rassemblés pour « prédire » que ces sujets seront toujours d’actualité l’année prochaine. Des sujets comme l’IA / le ML, le Cloud computing, le manque de préparation des entreprises en termes en cybersécurité, les ransomwares… Bien sûr, ils continueront d’attirer l’attention, mais il ne faut pas être un expert en sécurité ou disposer d’une perspicacité particulière pour « prédire » cela.

Au-delà des buzzwords

Pour emprunter une métaphore au monde du poker, ces sujets sont des mises de table. Ce que je propose, c’est plutôt d’aller voir du côté des attaques émergentes afin d’identifier les principaux risques auxquels les entreprises doivent se préparer.

Dans cette optique, voici les risques qui se détachent des simples buzzwords :

RansomOps – La nouvelle chaîne de destruction

Les ransomwares en tant que menace sont déjà établis et bien connus. Des attaques de ransomware se produisent quotidiennement et 2021 a vu plusieurs attaques liées à l’usage de ransomware avoir un impact significatif. Le risque réel lorsque l’on parle de ransomware, et qui ne fait pas l’objet d’une attention suffisante, c’est le fait que les ransomwares ont évolué.

Au départ, il s’agissait d’une variante des logiciels malveillants traditionnels, simplement une manière différente pour les pirates de réaliser des bénéfices lorsqu’ils compromettent une cible. Ce que nous voyons aujourd’hui n’est pas si simple. Il existe désormais des cartels de ransomware, comme REvil, Conti, DarkSide et d’autres, et le ransomware n’est pas un malware, mais plutôt des opérations complètes de ransomware, ou RansomOps, où l’exécution du ransomware lui-même n’est que le dernier maillon d’une chaîne d’attaque beaucoup plus longue.

On se concentre trop sur l’exécutable du ransomware ou sur la façon de se relever une fois que les serveurs et les données d’une organisation sont déjà cryptés. C’est comme combattre le terrorisme en se focalisant sur l’engin explosif ou en attendant d’entendre la détonation pour savoir où concentrer les ressources.

Chaîne d’approvisionnement – Amplifier la portée des attaques

À première vue, cela ne ressemble pas non plus à une « prédiction ». Les experts informatiques connaissent bien le concept d’attaque de la chaîne d’approvisionnement notamment « grâce » aux attaques « SolarWinds ». Néanmoins, il convient d’acquérir une perspective plus large sur le concept de chaîne d’approvisionnement. Il ne s’agit pas toujours de compromettre un appareil ou une application qui est ensuite distribué à d’autres en aval de la chaîne.

On note une tendance croissante parmi les auteurs de menaces réalisant la valeur de cibler un fournisseur ou un prestataire en amont de la chaîne afin de compromettre de manière exponentielle plus de cibles en aval. Plutôt que d’attaquer 100 ou 1 000 organisations distinctes, ils peuvent exploiter avec succès une entreprise qui ouvre la porte à toutes les autres. Il s’agit d’emprunter la voie de la moindre résistance.

Les attaques que nous avons vues font partie de campagnes de cyber espionnage menées par des adversaires étatiques. Il y a de fortes chances que ces attaques se poursuivent et nous assisterons également à une augmentation du nombre de cybercriminels qui adopteront cette stratégie. Les fournisseurs ou prestataires doivent être plus vigilants, et toutes les organisations doivent être conscientes du risque potentiel posé par les entreprises de leur écosystème.

Vivre avec le risque Microsoft

La simple vérité est que, d’une manière ou d’une autre, les produits Microsoft sont directement impliqués dans la grande majorité des cyberattaques. Les auteurs des menaces investissent leur temps et leurs efforts pour identifier les vulnérabilités et développer des exploits pour les plates-formes et les applications que leurs victimes potentielles utilisent. Microsoft joue un rôle dominant dans les systèmes d’exploitation, les plates-formes Cloud et les applications, ce qui le rend assez omniprésent.

Microsoft, qui développe des logiciels propices aux vulnérabilités et n’assume pas toujours sa responsabilité ou ne prend pas de mesures pour résoudre les problèmes, porte une part de responsabilité. Cependant, il n’est pas toujours question d’exploiter les vulnérabilités. Google a analysé 80 millions d’échantillons de ransomware et a déterminé que 95 % d’entre eux étaient des exécutables ou des DLL basés sur Windows. La plupart d’entre eux ciblaient également Windows.

Microsoft continuera d’être la cible principale des cyberattaques en 2022. Ce n’est pas vraiment une révélation. Les responsables de sécurité doivent comprendre le risque afférant aux solutions Microsoft pour mieux les protéger. Car il y a fort à parier que les organisations qui dépendent de Microsoft pour leur sécurité se retrouveront à faire les gros titres pour de mauvaises raisons.

Je ne suggère pas que les organisations n’utilisent pas les produits ou services Microsoft, mais il est important de comprendre les risques et d’avoir une approche multicouche pour protéger ces produits et services des attaques potentielles.

La cybersécurité est la sécurité nationale

La frontière n’existe plus entre sécurité nationale et cybersécurité. Parfois, un adversaire étatique attaque une entreprise privée dans le cadre d’une campagne plus large. La Russie l’a fait avec SolarWinds. La Chine l’a fait avec HAFNIUM. L’Iran l’a fait avec GhostShell. Parfois, les cybercriminels lancent des attaques ayant des implications sur la sécurité nationale. Le flux de pétrole et la chaîne d’approvisionnement alimentaire ont tous deux été gravement perturbés en 2021 par des attaques de ransomware.

Ce dont nous devons être conscients à l’approche de 2022, c’est de la coopération et la collaboration croissantes entre ces acteurs. Les adversaires étatiques ne contrôlent pas directement bon nombre de ces opérations, mais une combinaison d’attaques sanctionnées, tolérées et ignorées par l’État crée un environnement où l’absence d’action équivaut à une approbation tacite et indique que même si les acteurs ne travaillent pas activement ensemble, leurs objectifs concordent souvent.

XDR – Améliorer la protection avec l’IA

Avec le passage aux modèles de travail à domicile ou hybrides, le déploiement de la 5G sans fil et l’explosion des appareils connectés (Internet des objets), pratiquement tout est connecté aujourd’hui. Cette connectivité offre de nombreux avantages en termes de productivité et de commodité, mais elle expose également les organisations à des risques importants, ce qui rend la détection et la réponse étendues (XDR) cruciales.

Une question se pose inévitablement : qu’est-ce que le XDR ? De nombreux fournisseurs proposent une offre qu’ils appellent XDR, mais tous les XDR ne sont pas créés de la même manière. Il existe un accord presque universel sur le fait que le XDR est la prochaine étape, mais la définition de ce qu’est le XDR et le meilleur moyen d’y parvenir font toujours l’objet de débats.

L’industrie atteindra un certain consensus en 2022 et des leaders émergeront une fois l’effervescence retombée au sein du marché XDR. Quelle que soit la façon dont nous définissons le XDR, l’étendue et le volume des menaces exigent que l’intelligence artificielle (IA) joue un rôle central pour le rendre efficace.

 

Ainsi, le paysage de la cyber sécurité évolue constamment. Comprendre la façon de penser des acteurs de la menace et avoir un aperçu des tendances émergentes permet alors de garder une longueur d’avance et de se défendre plus efficacement. Un enjeu majeur pour toutes les entreprises en 2022.


A découvrir