Il ne s’écoule pas un jour sans qu’une nouvelle cyberattaque fasse la une des journaux à grand renfort de messages alarmants et de chiffres sensationnalistes. Bien loin d’une vision éthique visant à démocratiser l’information, les cybercriminels s’en prennent aussi bien à des individus qu’aux grandes multinationales. En France, le mois de Février a été marqué par deux attaques d’hôpitaux via des Ramsomware. Dans ce contexte de pandémie mondial, l’immoralité de ces attaques a causé un profond émois forçant le président français Emmanuel Macron à riposter en renforçant sensiblement les moyens de cyberdéfense du pays. Derrière cette effet d’annonce, il est intéressant de regarder les chiffres afin de mieux comprendre la réalité des cyberattaques.
Quelle sont les motivations des attaquants et leurs profils type ? Comment se sont-ils introduits dans les systèmes d’informations mais aussi comment sont-ils découverts ? Et enfin comment gérer les crises et anticiper ces évènements ? Autant de question auxquelles nous allons essayer de répondre ci-dessous avec l’éclairage du benchmark de l’entreprise Wavestone, l’une des référence en matière de promotion de la cybersécurité en France.
Quelle profil type pour le hacker en 2020 ?
De Septembre 2019 à Août 2020, l’étude de Wavestone a enregistré une hausse de plus de 50% des incidents majeurs signalé par les entreprises.
Si le mythe du hacker solitaire, petit génie de l’informatique a la peau dure (principalement en raison de mythe construit par le cinéma) la réalité des faits est toutefois différente.
La lecture du schéma ci-dessus s’interprète de la manière suivante:
- Les groupes mafieux (organisés et outillés) développant leurs propres outils offensifs sont désormais le principal fléaux avec 30% des attaques. Capables de créer des outils très performants, ils ne cessent d’améliorer leurs techniques en apprenant de leurs échecs passés pour améliorer leurs attaques et maximiser leurs résultats.
- Les cybercriminels seuls arrivent en 2nde position et utilisent des outils de piratage déjà existants, qu’ils modifient en fonction de leurs besoins. Ce sont souvent des ingénieurs informatiques compétents mais limités en termes de temps et de moyens.
- Les script kiddies représentent des novices en matière informatique utilisant des solutions prêtes à l’emploi sans en comprendre les mécanismes sous-jacent.
- Les groupes non organisés utilisent à l’inverse des groupes mafieux des outils existant mais sont capables de dérouler une méthodologie offensive. Ils constituent souvent l’antichambre des groupes mafieux.
- Enfin les internes sont un groupe hétérogènes de collaborateurs malveillants dans une entreprise.
Au-delà du profil des attaquants, l’étude révèle également le type de menace que ces attaquants mènent. Si 58% des menaces demeurent opportunistes et privilégient la facilité, la tendance actuelle montre la professionnalisation des attaques avec 39% des menaces ciblées, c’est-à-dire que les attaquants sont mandatés avec un objectif clair.
Les vecteurs d’attaques demeurent eux assez classiques:
- 25% des intrusions débutent par un e-mail de phishing reçu par un collaborateur de l’entreprise.
- 20% des intrusions exploitent une vulnérabilité web.
- 16% des intrusions exploitent des services d’accès vulnérables, notamment ceux déployés à la hâte pendant la crise sanitaire.
Ces intrusions permettent de mieux comprendre les motifs qui poussent les hackers à agir.
Quelles motivations aux cyberattaques en 2020 ?
Selon le chef d’Interpol Khoo Boon Hui, 80 % de la cybercriminalité était liée en 2012 à des bandes organisées transfrontalières et représentait un coût financier (750 milliards d’euros par an en Europe) plus important que les coûts combinés des trafics de cocaïne, marijuana et héroïne. Un peu moins d’une décennie plus tard, les motivations n’ont pas vraiment changées.
- Un peu moins de la moitié des attaques sont perpétrées sans surprise pour des gains financiers.
- 25% des attaques sont réalisées par ransomware, 18% sont des fraudes et 1.5% sont des mineurs de bitcoins
- Un peu moins d’un tiers des attaques sont du vol de données (coordonnées de clients, données bancaires etc.)
Le phénomène marquant de 2020 est la combinaison des ransomware + du vol des données qui représente 10% des attaques.
- Suivent ensuite des attaques indéterminées (18%), c’est-à-dire que malgré la compromission les motivations de l’attaquant n’ont pas pu être identifiées (attaque abandonnée etc.)
- 5% sont des attaques volumétriques qui visent souvent à rendre inaccessible un service
- Enfin 2% sont des gains de capacité d’attaque, c’est-à-dire des systèmes infestés (par exemple des objets connectés) pour mener des attaques sur d’autres cibles.
Comment on réagit les entreprises ?
Même si les entreprises ont pris conscience de l’ampleur du phénomène, un chiffre témoigne du rattrapage que ces dernières doivent opérer pour protéger leurs infrastructures.
Moins de 25% des incidents majeurs ont été identifiés par les services de détection des entreprises.
Derrière ce chiffre aux apparences inquiétantes se cache une réalité meilleure que ce que l’on pourrait croire:
- 94 jours: c’est le temps moyen entre une intrusion et sa détection.
Ce délai d’environ de 3 mois est à comparer aux 167 jours (5.5 mois) de délai en 2019. Cette réduction de plus de 44% s’explique essentiellement par 2 facteurs:
- Les services de détection détectent plus vite les intrusions et ont intégrés les signatures des menaces les plus connues
- Les attaquants se sont également adaptés en exploitant plus vite les systèmes compromis pour éviter les détection, quitte à rogner sur la surface d’attaque ou les informations collectées.
Est-ce que cela signifie la fin de la vague des ransomwares ? Selon les prédictions pour l’année 2021 de Fireeye, rien n’est moins sûr.
Quelles perspectives pour 2021 ?
Dans son rapport sur les perspectives sécurité pour 2021, Fireeye souligne qu’à l’image de la crise sanitaire qui se prolongera en 2021 la vague de ransomware devrait suivre la même tendance. Il demeure plus que jamais nécessaire pour les entreprises d’anticiper ces attaques en définissant des plans d’urgence, en organisant des exercices de simulation ou encore en segmentant leurs réseaux.
Une autre tendance de fonds est le cyberespionnage qui mêle habilement des groupes étatiques avec des mafias au service d’intérêts nationaux (Russie, Corée du Nord). Ces groupes sont chargés de missions en dehors de leur territoire national et conjuguent recueil d’informations avec des piratages dont l’objectif est purement financier. Dans ce contexte mondialisé, la migration des systèmes d’information vers le cloud est en première ligne des cyberattaques.
Les identifiants dérobés, généralement grâce au phishing, l’exploitation des erreurs de configuration des environnements lié au manque d’expérience des entreprises ou encore le piratage d’applications vulnérables devraient être les grands classiques des attaques de l’année.
En synthèse, l’année 2020 a été marquée par une augmentation des cyberattaques directement corrélées à la pandémie mondiale et à la digitalisation des processus. Environ 2/3 des crises sont dues aux ransomware, qui conjuguent le blocage du système d’information avec le vol de données pour être ensuite revendu le plus souvent sur des forum spécialisé. Cela permet ainsi aux attaquants de maximiser leurs gains en plus d’un éventuel paiement de la rançon. Cette pratique a notamment été éprouvé aux États-Unis avec le groupe Maze avant de se répandre dans le monde. 2021 ne devrait pas échapper à son lot d’attaques retentissantes et de crises cybernétiques. Pour autant, les entreprises ont désormais conscience de la menace. A mesure que les systèmes d’information se renforcent, les attaques se complexifient. Les prochaines années devraient voir l’émergence de stratégies offensives et défensives totalement inédites.
“Certains changements vous sembleront négatifs en apparence, mais vous vous rendrez vite compte que cet espace est créé dans votre vie pour que quelque chose de nouveau émerge.”
Eckhart Tolle