Les 10 plus grandes menaces de sécurité de 2022 et leurs enseignements

L'année 2022 est dans notre rétroviseur, et c'est le moment de réfléchir à l'impact indélébile laissé par les menaces de cybersécurité. Accompagnez-nous dans ce voyage : nous n'allons pas seulement revenir sur les dix grandes menaces de l'année écoulée, mais aussi sur les enseignements que nous en avons tirés. Et les organisations de toutes tailles, dans tous les secteurs, s'appuient ces connaissances pour renforcer leurs défenses en 2023.

Janvier 25 2023 Par

Jesus Vigo

Multiple images reflected within a compact mirror

Pour beaucoup, le début de la nouvelle année est une période de grande positivité. En regardant vers l'avenir, beaucoup d'entre nous ressentent le besoin de fixer des objectifs – proches et lointains – et de les poursuivre avec une vigueur renouvelée. Nous voulons devenir la meilleure version de nous-mêmes en commençant l'année en force.

Mais de même qu'en toute chose il y a une part de yin et une autre de yang, il est tout à fait naturel de tourner le regard vers le passé à l'heure où l'année nouvelle s'ouvre devant nous. Nous sommes amenés à réfléchir aux hauts et aux bas, aux bons moments, aux excellents moments, et à ceux qui n'ont pas été à la hauteur de nos attentes.

C'est dans cet état d'esprit contemplatif que nous pouvons réfléchir pleinement à chaque instant, chaque jalon et chaque événement. C'est l'occasion de comprendre pleinement les avantages et les inconvénients, libérés des émotions du moment, pour évaluer rationnellement chaque cas pour ce qu'il est. Nous parvenons ainsi aux enseignements qui doivent, espérons-le, nous aider à devenir des versions de nous-mêmes enrichies par les épreuves surmontées.

Ce processus itératif est le pivot de nombreux cadres de l'informatique et de la sécurité. On l'utilise pour gérer des projets et les cycles de développement des appareils et des logiciels. Dans cet article, nous adoptons une approche réflexive pour étudier les dix grandes menaces de sécurité de 2022. Nous voulons en tirer des enseignements utiles pour aider les professionnels de l'informatique et de la sécurité à protéger les appareils, les utilisateurs et les données de leurs organisations face aux menaces existantes comme aux problèmes de sécurité qui se profilent à l'horizon 2023.

Sans plus attendre, plongeons dans le grand bain...

1. L'art de la tromperie

Les tactiques d'ingénierie sociale, phishing en tête, restent la méthode privilégiée par les acteurs malveillants pour délester des utilisateurs ignorants de leurs identifiants et, en fin de compte, de leurs précieuses données. Malheureusement, il y a un gouffre saisissant entre l'étendue des solutions de sécurité et la facilité avec laquelle les attaquants obtiennent des données sensibles – tout simplement en les demandant.

En d'autres termes, les solutions de sécurité les plus complètes et les stratégies de défense en profondeur ne peuvent pas grand-chose pour

  • l'intégrité des comptes utilisateurs,
  • la confidentialité des données,
  • la disponibilité des ressources de l'entreprise,

...si les utilisateurs finaux révèlent leurs identifiants de leur plein gré. Bien que cette attaque simpliste signe généralement la fin de la partie, tout espoir n'est pas perdu.

La meilleure protection contre l'ingénierie sociale n'est pas un contrôle de sécurité, mais un contrôle administratif : la formation. Des études l'ont en effet démontré : bien intégrée à votre stratégie de sécurité globale, une formation obligatoire des utilisateurs contre les pratiques malveillantes peut limiter dans une certaine mesure, l'impact des attaques par ingénierie sociale. Le Rapport Verizon sur les enquêtes sur les violations de données en 2022 ne dit pas autre chose : « 82 % des violations impliquent l'élément humain », contre 85 % en 2021. Si cette baisse de 3 points paraît faible, il faut savoir que les méthodes de formation varient d'une grande entreprise à l'autre. La quantification de ces données est d'autant plus difficile qu'il n'existe pas de métrique normalisée à l'heure actuelle. Mais ce que l'on sait, c'est que cette baisse de l'élément humain dans l'ensemble des violations de données est un pas dans la bonne direction.

2. « Ça fait un gros Twinkie »big

Cette fameuse phrase de Ghostbusters décrit la vague d'activité paranormale qui culmine avec la destruction de la ville par le Bonhomme Chamallow – une analogie toute trouvée à la plus grande attaque par déni de service distribué (DDoS) arrêtée par Google, malgré un pic de quarante-six millions de requêtes par seconde. Il s'agit en effet de la plus vaste attaque jamais enregistrée au niveau de la couche 7 (couche des applications selon le modèle OSI). Son ampleur a dépassé de 76 % le précédent record, enregistré quelques mois auparavant seulement.

Il est difficile de se prémunir des attaques de type DDoS, et la plupart des organisations en sont incapables. Pas sans l'aide des FAI en amont et des fournisseurs de services tiers. Et pourtant, c'est absolument crucial face à un taux de croissance de 111 % d'une année sur l'autre, selon le rapport Paysage des menaces DDoS de Cloudflare. Un partenariat avec des fournisseurs de solutions sélectionnés peut arrêter efficacement cette forme d'attaque des plus dévastatrices – ou du moins fournir la bande passante et l'infrastructure nécessaire pour lutter contre la tempête tout en maintenant la fonctionnalité de vos services critiques. En outre, si certaines attaques DDoS ont pour seul but de rendre un service ou une solution indisponible, d'autres s'inscrivent dans une chaîne d'attaque plus large. Les auteurs visent alors à pénétrer dans l'infrastructure pour tenter de voler des données dans les systèmes inopérants.

3. Payez maintenant, plus tard... ou les deux !

Un cran en dessous du phishing, le ransomware, le logiciel malveillant le plus détesté des utilisateurs !

Nettoyer un ordinateur infecté est une tâche aussi longue que frustrante, mais les ransomwares, adeptes de la surenchère, frappent les utilisateurs et les organisations touchés là où ça fait le plus mal : au portefeuille.

En outre, le chiffrement appliqué aux données et aux systèmes critiques est quasiment incassable. Les utilisateurs finaux ne sont donc pas les seuls à être touchés : l'attaque affecte également des patients en attente de traitements vitaux, ou des officiers de police qui utilisent des appareils mobiles pour lutter contre la criminalité.

Mais il y a mieux ! En 2022, les menaces liées aux ransomware ont à la fois diminué et augmenté. On a en effet enregistré une baisse de 23 % du volume des attaques de ransomware. Les demandes de rançon, par contre, ont augmenté de 171 % depuis 2020. Pour ne pas arranger les choses, les attaquants ont fait évoluer leurs techniques et emploient des méthodes plus sophistiquées pour amener les victimes à payer. Ils associent leurs menaces à plusieurs charges utiles pour causer des dommages massifs et opérer une « double extorsion » :

  • Divulgation des données au public
  • Déni de service (DoS)
  • Harcèlement par téléphone ou par e-mail
  • Mouvement latéral sur le réseau
  • Élaboration d'une chaîne d'attaque plus large

En bout de ligne, même avec des protections à jour contre les logiciels malveillants, de nouvelles variantes parviennent à se faufiler. La meilleure protection : un plan complet de défense en profondeur assorti de contre-mesures pour sécuriser votre réseau et vos systèmes, pour minimiser les vecteurs d'attaque tout en contenant les retombées.and

4. Par-delà les frontières

La pandémie a contraint la plupart des entreprises à travailler à distance, et beaucoup d'entre elles ont été prises au dépourvu. Depuis, certaines ont renoué avec leur environnement de travail habituel, mais elles sont également nombreuses à avoir conservé le télétravail et des pratiques hybrides. En 2022, la sécurisation des données en dehors du périmètre du réseau est toujours un défi, et il semble qu'il en sera de même en 2023.

Certaines menaces que nous avons évoquées jusqu'à présent – ingénierie sociale, menaces et logiciels malveillants – se combinent à l'absence des solutions de pointe permettant de sécuriser les appareils et les OS utilisés. Les organisations sont ainsi privées de la visibilité indispensable pour identifier les nouvelles menaces de manière proactive, mais aussi assurer la conformité des terminaux aux règles de l'entreprise et aux obligations réglementaires.

Le résultat ? Le paysage moderne des menaces a évolué de manière inédite et inimaginable. Les solutions traditionnelles que sont les VPN, les antivirus autonomes ou les solutions ad hoc sont tout simplement incapables d'atténuer les risques liés aux menaces actuelles. Il faut se tourner vers l'accès réseau zero-trust (ZTNA), l'IA et le machine learning(ML) ou l'intégration des solutions MDM et de sécurité des terminaux – autant de technologies innovantes qui permettront désormais de :

  • chiffrer et compartimenter les connectivités des réseaux aux ressources d'entreprise
  • partager les renseignements sur les menaces entre les solutions via des API sécurisées
  • automatiser la détection et la correction des menaces connues et inconnues.

5. Qui va là ?

Les chaînes d'approvisionnement de l'informatique et de la sécurité ont subi plusieurs revers en 2022. Il n'y a aucun moyen d'édulcorer cette situation – et nous n'avons aucun intérêt à le faire étant donné la gravité de ces attaques. Il ne s'agit pas de blâmer qui que ce soit, mais simplement de souligner l'ampleur considérable des attaques visant les tiers et la chaîne d'approvisionnement – et ce, pour l'ensemble des organisations.

Plusieurs attaques très médiatisées de ces dernières années l'illustrent bien : même si votre organisation fait tout ce qu'il faut pour renforcer sa sécurité et limiter les accès non autorisés, elle ne sera pas à l'abri si un fournisseur de logiciels, de matériel ou de services est compromis – comme toute autre entreprise en aval qui dépend du même partenaire.

Une question se pose : comment atténuer cette menace persistante avancée (APT) ? Comme toujours en matière de sécurité, il n'y a pas de solution miracle. En revanche, une bonne dose de diligence raisonnable est toujours de mise lorsque votre organisation choisit des partenaires. Vérifiez la transparence de leurs processus, demandez un audit indépendant. Ce sont d'excellents moyens de vous assurer que vos fournisseurs de confiance gèrent avec la diligence requise leurs propres réseaux et infrastructures – du moins en attendant que l'administration américaine adopte le cadre Enduring Security (ESF) et la loi de 2022 sur la sécurisation des logiciels open sourcelegislation.

6. « Les régulateurs s'organisent »

Conformité. Un petit mot qui pèse lourd, en particulier si votre organisation appartient à l'un des nombreux secteurs hautement réglementés. C'est aussi le cas même si elle n'est qu'indirectement concernée par une forme ou une autre de législation locale, fédérale et/ou internationale, ce qui dépend d'un certain nombre de variables. Dans le monde entier, les entreprises peuvent être soumises à des pratiques et processus qui encadrent directement leurs pratiques commerciales. Si elles ne s'y conforment pas, les conséquences peuvent être lourdes : elles s'exposent en effet à des poursuites au civil, voire au pénal.

Dans le domaine de la conformité, une règle prévaut : « Si vous ne pouvez pas prouver qu'un appareil est conforme, alors il ne l'est pas ». Cela ne signifie pas nécessairement que votre organisation est en infraction et qu'elle s'expose à menaces de sécurité ou de fortes amendes. Mais cet adage nous rappelle que les organisations réglementées doivent s'appuyer sur une visibilité approfondie et des données de télémétrie riches pour :

  • évaluer l'état de santé de leurs terminaux
  • vérifier qu'ils sont conformes aux règles de sécurité
  • répondre aux exigences minimales d'audit
  • garantir la sécurisation des catégories de données protégées
  • renforcer les processus contre les menaces courantes
  • démontrer la conformité des terminaux et des données

7. Les Contes de la crypto

Depuis l'apparition du bitcoin, vers 2009, les mineurs ont créé des systèmes personnalisés pour extraire des crypto-monnaies, dans le but commun de s'enrichir. Deux ans plus tard, à la mi-2011, c'est l'avènement des cryptojackers. Ces logiciels malveillants s'installent sur vos appareils et utilisent leurs ressources pour miner des cryptomonnaies. Une chose est claire : il n'a pas fallu longtemps pour que des acteurs malveillants s'emparent de ce business lucratif. Ils ont créé des réseaux de zombies à partir des appareils des victimes pour exploiter toute cette puissance de calcul, montant ainsi de véritables opérations minières.

Ces attaques peuvent sembler inoffensives par rapport à d'autres cyberattaques plus néfastes. Il n'en reste pas moins qu'elles constituent un accès non autorisé à des réseaux privés. Et dans tous les cas, le fait de s'approprier des ressources précieuses destinées à des usages plus importants est considéré comme un vol. Rappelons également que le code malveillant utilisé pour exécuter ces tâches quasiment inaccessible à l'utilisateur final. Son auteur peut donc lui adjoindre une charge utile de ransomware ou un logiciel d'enregistrement de frappe qui le rendra bien plus dangereux.

Les statistiques varient quelque peu à ce sujet : certains chiffres font état de 230 % d'augmentation en 2022, tandis que d'autres sont plus prudents. Mais une chose est sûre : à la fin de l'année 2022, les campagnes de cryptojacking ont franchi le pas et ciblent désormais les environnements basés sur le cloud. Docker et AWS, ainsi que les infrastructures Kubernetes, sont particulièrement visés. En général, ces attaques parviennent à s'échapper de leur conteneur et à se déplacer latéralement dans le réseau pour infecter d'autres hôtes. L'objectif principal semble être l'exploitation du plus grand nombre possible de conteneurs et d'instances, mais des chercheurs ont observé d'autres formes d'attaques secondes, facilitées par l'évolutivité de cette méthode. Une fois encore, il faut répondre à cette préoccupation croissante sur plusieurs fronts : sécurité des terminaux, contrôle de la chaîne d'approvisionnement et des tiers, et surveillance active des instances hébergées dans le cloud pour détecter le moindre écart par rapport aux valeurs de référence,

8. Inside Man

À l'instar des attaques de phishing, qui visent à obtenir les identifiants d'accès des utilisateurs eux-mêmes, les menaces internes cherchent la faille au sein de votre personnel. Normalement, les personnes de confiance de votre organisation jouent leur rôle et ne partagent pas sciemment des données confidentielles avec des personnes non autorisées, à l'intérieur ou à l'extérieur de l'entreprise. Et pourtant, la réalité est là. Une nouvelle année vient de s'écouler et les menaces internes continuent de figurer dans le top 10.

Gain personnel, motivations personnelles, vengeance... les motifs sont variés. Quelle que soit la raison, la question la plus importante est celle de la méthode : comment les organisations peuvent-elles se protéger contre ces menaces ? Attention spoiler : il n'y a pas de réponse facile à ce problème. C'est plutôt une combinaison de mesures techniques, de contrôles administratifs et de règles qui permettent de les atténuer efficacement.

Le principe du moindre privilège, par exemple, assorti de contrôles d'accès stricts et de mesures de prévention des pertes de données (DLP), permet de limiter les risques de fuite. Ajoutez à cela une règle d'utilisation acceptable (RUA) et formez les utilisateurs pour clarifier les attentes (et les conséquences en cas d'infraction) : vous établirez ainsi un consensus entre les employés et l'entreprise. Certains processus contribuent également à endiguer les menaces internes : la séparation des tâches et les pratiques de rotation des postes, par exemple, limitent l'accès d'un utilisateur donné en l'affectant à un autre poste, avec des responsabilités et des autorisations différentes. Enfin, on boucle la boucle en traduisant ces règles par des contrôles techniques. Ceux-ci vont empêcher les utilisateurs de dépasser leurs prérogatives tout en faisant du contournement une option aussi risquée que possible.

9. Votre pays a besoin de VOUS !

L'année 2023 devrait être marquée par une augmentation des incidents de cybersécurité parrainés par des États. Selon un rapport du Centre d'études internationales et stratégiques, les campagnes de cyberattaque provenant de pays spécifiques ont fait la une pendant une grande partie de l'année 2022. Et cela pourrait bien annoncer les aventures à venir.

Quelques exemples de ces attaques :

  • Intrusion dans les réseaux de l'administration américaine et infiltration des ordinateurs
  • Paralysie des secteurs du transport et de la logistique en Ukraine et en Pologne
  • Espionnage numérique contre plusieurs pays d'Asie et d'Europe
  • Ransomware visant une plateforme de communication australienne utilisée par le ministère de la Défense
  • Déploiement de logiciels malveillants permettant d'espionner les caméras et les micros de politiciens pakistanais

La liste est encore longue : c'est un déluge apparemment sans fin d'attaques provenant directement (ou indirectement) de pays du monde entier. Il est difficile de déterminer avec certitude quels actifs sont menacés et par quelles organisations. Le mieux est encore de mettre en place un plan complet de sécurité du réseau et de défense en profondeur, couvrant tous les aspects de votre posture de sécurité. Procédez de manière holistique : appliquez les mesures de protection à l'ensemble de vos infrastructures, qu'elles soient sur site, hébergées dans des clouds publics ou privés ou des applications web. Alignez ces protections sur un cadre de sécurité, comme du National Institute of Standards and Technology (NIST) ou du Center for Internet Security (CIS) de manière à opérer une gestion complète du cycle de vie des appareils et des logiciels. Le résultat : une infrastructure renforcée et de robustes dispositifs de signalement et de correction face aux menaces modernes.

10. Patch Adams

Non, nous ne parlons pas le médecin charismatique qui a rendu le sourire à tant d'enfants (ni le génie comique de Robin Williams qui l'a incarné sur grand écran), mais de deux des mots les plus redoutés et les plus révérés, à mettre au centre de tout plan de défense en profondeur : il s'agit de la gestion des correctifs

Les patches ne sont pas liés à un type précis d'incident ou d'attaque. Pour autant, le déploiement efficace de correctifs présente de nombreux avantages, à commencer par l'atténuation des menaces et des vulnérabilités connues. En effet, on estime que 10 % des alertes de 2022 étaient liées à des vulnérabilités et expositions communes (CVE) liées à des menaces connues présentant des degrés de gravité critiques. De nombreuses attaques exploitent des vulnérabilités dans le matériel et les logiciels. On comprend donc pourquoi il est crucial d'appliquer régulièrement les correctifs pour la posture de sécurité de votre organisation et sa stratégie de sécurité en général.

Résumons : la cybersécurité exige souvent des professionnels de l'informatique et de la sécurité qu'ils répondent aux incidents après leur apparition. Mais avec une règle efficace de gestion des correctifs, les administrateurs vont pouvoir tester, vérifier et déployer les mises à jour : les vulnérabilités sont ainsi atténuées avant d'avoir pu être exploitées.

TL;DR

  • La meilleure défense contre l'ingénierie sociale est un programme de formation solide, intégré au plan de sécurité de votre organisation. Il doit informer régulièrement les utilisateurs finaux des dernières tendances en matière d'attaques.
  • Les attaques DDoS menées par des réseaux de zombies sont toujours plus vastes et dramatiques. Protégez-vous en vous optant pour des solutions qui ont fait leurs preuves et savent atténuer ces attaques en n'exerçant qu'un impact minime sur les niveaux de service.
  • Les attaques par ransomware font des dommages de plus en plus lourds. C'est en combinant la protection des terminaux, la formation des utilisateurs et un plan de reprise après sinistre (PRS) à toute épreuve que l'on peut considérablement atténuer ce problème.
  • Les environnements de travail à distance et hybrides sont toujours sources de défis pour la sécurisation des ressources de l'entreprise, car les services et les appareils professionnels restent des cibles de choix. Les stratégies de défense en profondeur élargissent la protection à l'ensemble de votre infrastructure.
  • La menace d'attaques visant les chaînes d'approvisionnement et les tiers continue de penser lourdement sur toutes les organisations en aval. La meilleure façon d'isoler votre entreprise ? Soumettez vos partenaires à des audits indépendants pour vérifier la conformité de leurs pratiques de sécurité.
  • La mise en conformité avec les workflows des secteurs reste un point sensible pour de nombreuses organisations. Mais ce n'est pas forcément le cas lorsqu'on dispose des meilleurs outils de sécurité, capables de collecter et classer des données télémétriques riches pour établir des rapports sur la santé des appareils. Ces mêmes outils permettent ensuite d'automatiser des corrections pour remettre les appareils en conformité.
  • Les logiciels malveillants de cryptojacking intéressent toujours plus les malfaiteurs. Ils convertissent vos machines en réseaux de zombies et en exploitent les ressources pour extraire de la cryptomonnaie. Non seulement cela dégrade la posture de sécurité de votre organisation, mais cela peut aussi ouvrir la voie à des menaces plus importantes à l'avenir.
  • Les attaques viennent parfois de l'intérieur et, malheureusement, elles ne préviennent pas toujours. La meilleure défense consiste à calquer les contrôles de sécurité sur les règles de l'organisation afin de définir les attentes, de limiter les autorisations d'accès au strict nécessaire et, surtout, de refuser explicitement l'accès à tout utilisateur qui n'a pas encore vérifié son identité et l'état de son appareil.
  • Dans le contexte nouveau des menaces de cyberguerre et d'espionnage parrainées des États-nations, les attaques informatiques peuvent s'appuyer sur la puissance de tout un pays ou d'une région entière. Bien qu'il soit difficile de s'en protéger, la bonne pratique dans le cadre d'un plan de défense en profondeur consiste à maximiser les protections de sécurité tout en réduisant la surface d'attaque.
  • La correction des menaces et des vulnérabilités critiques est un enjeu majeure pour une pile de sécurité complète. Il est essentiel de déployer les mises à jour à intervalles réguliers pour atténuer les facteurs de risque tout en sécurisant la configuration des terminaux.

Commencez la nouvelle année avec la stratégie complète de défense en profondeur de Jamf et les solutions Trusted Access !

Étendez les protections à l'ensemble de votre infrastructure. Sécurisez tous vos appareils Apple, vos utilisateurs et vos données critiques pour les protéger contre les menaces actuelles et nouvelles.

S’abonner au blog de Jamf

Recevez les tendances du marché, les mises à jour d'Apple et les dernières nouvelles de Jamf directement dans votre boîte mails.

Pour en savoir plus sur la manière dont nous collectons, utilisons, partageons, transférons et protégeant vos informations personnelles, veuillez consulter notre Politique de confidentialité.