Cybersécurité : les 10 menaces à surveiller en 2023

Qu’est-ce qu’un ransomware ?

Depuis quelques années, les ransomwares sont la menace numéro un, et ils devraient le rester. Certains sont lancés à des fins politiques - plusieurs groupes cybercriminels sont potentiellement liés au gouvernement russe. Mais les attaques sont aussi de plus en plus décentralisées. Les petits acteurs délaissent les opérateurs de Ransomware-as-a-Service pour mettre en place leurs propres opérations et éviter d’être repérés par les forces de l'ordre et les gouvernements. De plus en plus, ils ciblent les travailleurs à distance et les secteurs vulnérables comme la santé.

Les ransomwares s’insinuent aussi dans les attaques de plus grande envergure. Ils sont impliqués dans environ 10% des vols de données, ce qui représente un coût de récupération d’environ 1,85 million de dollars. Aujourd'hui, seules 57 % des entreprises parviennent à récupérer leurs données à partir de sauvegardes lors d'une attaque.

Perspectives 2023

Les ransomwares resteront la menace n°1, parfois combinés à d’autres types d’attaques pour renforcer leur impact. Il faut notamment s’attendre à l’augmentation des attaques de triple extorsion, où les assaillants chiffrent les données, menacent de les divulguer à des tiers et exercent un moyen de pression supplémentaire sur la continuité des opérations de l’organisation ciblée, souvent par le biais d’une attaque par déni de service si leurs revendications ne sont pas satisfaites. 2023 verra-elle le début des attaques dans le métavers (mots de passe des wallets, vol de NFT, usurpation d'identité d'avatars) ? Les acteurs du ransomware vont sans doute commencer à cibler ses données et son infrastructure pour essayer d’échanger les actifs numériques des utilisateurs contre des rançons plus élevées.

Qu’est-ce qu’une attaque de la supply chain ?

Dans le cadre des attaques de la supply chain, les criminels ciblent les prestataires, par exemple les fournisseurs de logiciels, et les utilisent pour « entrer par la porte de derrière » chez leurs clients. Voici quelques exemples d'incidents récents très médiatisés impliquant un fournisseur compromis :

• SolarWinds : en décembre 2020, un malware s’insinue dans la mise à jour du logiciel de gestion informatique Orion, fourni par la société texane SolarWinds, infectant plus de 18 000 entreprises privées ainsi que le gouvernement américain,
• SITA : en mars 2021, les données de 4,5 millions de passagers d’Air India sont volées suite à une attaque sur le « Passenger Service System » du fournisseur IT SITA,
• Kaseya : en juillet 2021, le logiciel de management à distance VSA de la société Kaseya est compromis par le groupe de hackers russes REvil, entraînant la mise hors ligne de milliers de serveurs dans 17 pays,
• Log4J : en décembre 2021, une vulnérabilité dans la bibliothèque de journalisation Apache log4j, utilisée dans les développements Java/J2EE, est signalée par l’Anssi. Elle permet à des attaquants comme TellYouThePass, Khonsari ransomware ou Nemesis Kitten de provoquer une exécution de code arbitraire à distance sans être authentifié.

Perspectives 2023

Les attaques de la supply chain vont se multiplier, car les organisations dépendent de plus en plus du numérique via des fournisseurs externes pour mener leurs opérations essentielles. Elles devront donc exiger une plus grande visibilité sur les politiques cybersécurité de leurs prestataires et renforcer leur capacité à identifier et à pallier leurs éventuelles vulnérabilités.

Quelles sont les menaces liées au cloud ?

L'adoption du cloud s’accélère, tout comme les risques associés à ces services. Selon Gartner, les investissements en cloud public devraient augmenter de 20,7 %, pour atteindre 591,8 milliards de dollars en 2023. Cette adoption généralisée du cloud crée une surface d'attaque plus importante, avec la migration de plus de workflows et de données critiques vers celui-ci. Les cybercriminels l’ont bien compris. Selon un rapport récent de la Cloud Security Alliance, 45 % des organisations qui utilisent des services d'Infrastructure-as-a-Service ont subi une attaque en 2021.

De simples erreurs de configuration de la sécurité ont été à l'origine de 23 % de ces incidents. Les API non sécurisées sont particulièrement vulnérables. Par exemple, T1119 - où les attaquants exploitent les API du cloud pour collecter automatiquement des données, ou T1609 - où les attaquants utilisent le Docker daemon, le serveur API de Kubernetes, pour exécuter des commandes dans un conteneur.

Les attaques sur les plateformes de Software-as-a-Service ne font pas beaucoup parler d'elles, mais elles sont aussi susceptibles d'augmenter avec l'adoption croissante de ce type de solutions.

Perspectives 2023

Les attaques du cloud seront de plus en plus répandues et performantes, à mesure que les attaquants découvrent de nouvelles façons d’exploiter ses vulnérabilités. Les organisations devront déterminer comment atténuer le risque associé, soit en ralentissant l'adoption du cloud (et perdre les gains d'efficacité, l'innovation et l'avantage concurrentiel qu'il procure), soit en repensant leur sécurité cloud avec de nouvelles stratégies de défense.

Qu’est-ce qu’une attaque commanditée par un Etat ?

La guerre en Ukraine se livre à la fois sur le terrain et en ligne. Dans le prolongement de son invasion, la Russie a lancé des attaques massives par déni de service (DDoS) dès mars 2022. Le secteur financier ukrainien a subi une intensification de ce type d’attaques dès les premiers mois de la guerre, avec 25 % d'incidents en plus. Les sites web du gouvernement ukrainien ont également subi un nombre important d'attaques similaires dès février 2022, tout comme ses alliés.

Au total, les attaques par déni de service entre la Russie et l’Ukraine ont augmenté de 46 % entre janvier et mars 2022. Mais les attaques financées par des États prennent aussi la forme d'espionnage et de cyberattaques à des fins de destruction et de sabotage, comme l'ont montré les ransomwares lancés contre le réseau internet par satellite Viasat.

Perspectives 2023

Quelle que soit la tournure que prendra la guerre en Ukraine en 2023, nous nous attendons à des attaques d’Etats de plus en plus fréquentes et de plus en plus impactantes, notamment les attaques par déni de service. Celles-ci visent désormais davantage à perturber les services essentiels qu’à mener des opérations d’espionnage. Elles sont déjà en train de devenir une composante standard d’autres attaques, en particulier celles par ransomware.

Quelles sont les cybermenaces classiques ?

Les menaces classiques telles que l’hameçonnage, la compromission d'email professionnel ou les logiciels malveillants sont toujours un pilier de la cybercriminalité. Selon le DBIR 2022 de Verizon, 36 % des vols de données proviennent encore de simples hameçonnages. Ces menaces se retrouvent aujourd’hui au cœur d’attaques plus sophistiquées et plus importantes. Par exemple, l’hameçonnage peut être utilisé pour compromettre initialement un réseau, puis suivi d'un malware pour chiffrer les données dans une attaque par ransomware.

Dans le même temps, les menaces classiques ont pris de nouvelles formes et sont devenues beaucoup plus sophistiquées. Par le passé, les cybercriminels envoyaient des emails d'hameçonnage basiques. Aujourd'hui, des vidéos et des messages vocaux sont diffusés via des outils de collaboration comme Slack ou Teams, par des bots automatisés qui imitent les communications humaines.

Les pirates recourent de plus en plus à l'intelligence artificielle (IA) pour améliorer leurs campagnes d'hameçonnage. L'IA peut créer des emails plus convaincants en analysant les tentatives antérieures réussies et en imitant leur langage et leur formatage. En outre, elle peut optimiser le contenu des messages en temps réel en fonction des réponses des victimes, ce qui les rend plus efficaces au fil du temps.

Perspectives 2023

Les menaces classiques resteront un élément central de presque toutes les attaques. L'automatisation et l'IA permettent aux cybercriminels d’envoyer, d’une manière simple et rentable, un volume considérable de messages d'hameçonnage et de malware. Les attaquants continueront à les utiliser dans des campagnes de plus grande envergure.

Qu’est-ce qu’une cybermenace interne ?

Les menaces internes, de la part d’employés, commencent à devenir une source de préoccupation. Selon TechJury, 66 % des organisations sont plus inquiètes des menaces internes par accident ou malveillance que des attaques classiques. Le coût moyen d'une attaque provenant du personnel est désormais chiffré à 15,38 millions de dollars. Pire encore, il est probable que le nombre d'attaques internes et les dommages qu'elles causent soient sous-estimés, car plus de 70 % d'entre elles ne sont pas rendues publiques.

Une étude récente de Ponemon a révélé que les organisations ont du mal à détecter et à stopper ces menaces : le temps moyen pour contenir l'une de ces attaques est passé de 77 à 85 jours.

Perspectives 2023

La situation économique et les vagues de licenciement vont probablement engendrer une nouvelle vague d’attaques internes. La récession mondiale risque de générer un vivier d’anciens employés avec un accès important aux ressources numériques, aux flux de travail et aux données de l'entreprise, parce que leurs identifiants n’auront pas été désactivés assez rapidement. Les organisations contraintes de licencier de nombreux employés auront intérêt à renforcer leurs process de gestion des identités et des droits d'accès, ainsi qu’accroître la visibilité sur l’emplacement de leurs données sensibles et la manières dont elles sont utilisées.

Qu’est-ce qu’une attaque par deepfake ?

Les deepfakes sont dans le radar de la communauté cyber depuis plusieurs années. Dans ce type d’attaques, les acteurs utilisent l'IA pour reproduire la voix ou le visage d'employés et de dirigeants, et créent des messages vocaux ou vidéo demandant d’envoyer des identifiants ou de procéder à des virements bancaires sur le compte de l'attaquant. Ces attaques peuvent nuire à la réputation d’organisations entières, voire provoquer des remous politiques. Elles font de plus en plus souvent partie d'attaques d’hameçonnage ou de manipulation sociale plus conséquentes. Des deepfakes ont déjà montré Elon Musk faire la promotion d’une plateforme de cryptomonnaie, ou tout récemment des citoyens américains soutenir la junte militaire au Burkina Faso.

Perspectives 2023

Les attaques par deepfake ne sont pas encore très répandues. Elles supposent une certaine maîtrise technique et des moyens plus importants que les attaques classiques. Cependant, 2023 pourrait être l'année où elles commenceront à se banaliser, car les technologies d'IA et d'automatisation qui l’alimentent se perfectionnent rapidement. Bientôt il sera assez simple et rentable pour des acteurs malveillants, même peu avertis, de les déployer à grande échelle.

Qu’est-ce qu’une menace OT/IoT ?

L’usage de l'Internet des objets (IoT) et les systèmes connectés OT (Operational Technology) a rapidement progressé dans les organisations, notamment dans l’industrie et le manufacturing. À la fin de l'année 2021, on comptait 12,2 milliards de dispositifs IoT actifs dans le monde. On prévoit qu'il y en aura 27 milliards en 2025. Ces appareils élargissent considérablement la surface d'attaque de chaque organisation qui les déploie. Ces nouveaux actifs doivent être régulièrement patchés, configurés et mis à jour pour rester sécurisés.

Malheureusement, de nombreux appareils OT et IoT sont truffés de failles de sécurité et certaines organisations sont peu préparées à sécuriser ce nouveau parc d’équipements connectés. Les attaquants l’ont déjà compris. Au cours des six premiers mois de 2021, on a recensé 1,5 milliard de fraudes IoT. 93 % des organisations qui déploient l'OT ont subi au moins une intrusion l’année passée, et la moitié d'entre elles ont connu des interruptions de service.

De plus, les appareils OT et IoT sont souvent en interface avec les réseaux IT, même dans les environnements sensibles tels que les centres hospitaliers. Cela rend les établissements de santé particulièrement vulnérables, comme on le voit en France depuis plus d’un an. Or toute attaque sur l’IoMT (objets connectés médicaux) peut non seulement causer des dommages organisationnels, mais aussi avoir des conséquences dramatiques sur les personnes, jusqu’à coûter des vies humaines.

Perspectives 2023

Les réseaux OT et IoT sont désormais si étendus et si critiques qu’ils sont une cible de choix pour les cybercriminels. Une recrudescence des attaques sur ces appareils est à attendre, notamment le premier incident à grande échelle causé exclusivement par une attaque OT ou IoT.

Les organisations doivent prendre les mesures de cybersécurité appropriées et considérer que ces nouveaux appareils sont aussi exposés aux risques que n'importe quel ordinateur portable ou téléphone mobile. D'un point de vue réglementaire, certains organismes exigeront sans doute que les dispositifs IoT soient labellisés en fonction de leurs risques de sécurité potentiels.

Qu’est-ce qu’une erreur humaine de cybersécurité ?

L'être humain est toujours le premier responsable des incidents de cybersécurité. Selon le rapport 2022 de Verizon sur les incidents liés aux fuites de données (DBIR), 85 % de ces attaques sont liées à une erreur humaine, notamment dû à la négligence d’un utilisateur.

La pénurie de compétences en cybersécurité exacerbe le problème. Moins d’experts sont disponibles pour identifier et contrer les menaces, ce qui facilite la tâche des attaquants. Les organisations ne disposent pas non plus des ressources nécessaires pour investir dans la formation en cybersécurité des collaborateurs et réduire le risque d'erreur humaine.

Perspectives 2023

L'erreur humaine restera l’une des premières causes de la plupart des incidents de cybersécurité en 2023 – à peu près 85 à 90 % des attaques. L'industrie s'orientera sans doute de plus en plus vers une sécurité "foolproof” (à l’épreuve des « idiots ») pour compenser les erreurs des utilisateurs par une sécurité automatisée.

Qu’est-ce qu’une menace mobile ?

Les smartphones et tablettes sont profondément ancrés dans la vie professionnelle et sont de plus en plus utilisés pour accéder à des applications, des process et des données sensibles. Diverses techniques ont vu le jour pour compromettre ces appareils, des applications malveillantes aux logiciels espions. Les informations d'identification stockées sur ces appareils peuvent être compromises comme si elles se trouvaient sur un poste de travail.

Cependant, les appareils mobiles ne disposent pas souvent des mêmes protocoles de sécurité que les ordinateurs. En outre, ces appareils sont souvent utilisés par des collaborateurs qui ne pensent pas à les mettre à jour ou à les configurer selon les plus hauts standards de sécurité. Par conséquent, ces appareils sont de plus en plus vulnérables et ciblés par les cybercriminels.

Perspectives 2023

La multiplication des appareils mobiles 5G ne fera qu'accroître ces risques. Les appareils mobiles seront en mesure d’effectuer un nombre croissant de tâches professionnelles et seront de plus en plus intégrés dans les process de travail des organisations. Les cybercriminels lanceront des attaques à plus grande échelle sur les smartphones et les tablettes.