Les deux dernières années ont été loin d'être ordinaires, tant pour la cybersécurité que pour les entreprises en général. La pandémie de COVID-19 a modifié de façon permanente la façon de faire des affaires, et les cybercriminels se sont adaptés à ces changements, en adaptant leurs tactiques à la nouvelle réalité.
Si 2020 et 2021 ont été des années exceptionnelles pour les cyberattaques, rien n'indique que les choses reviendront à la "normale" en 2022. Les acteurs de la cybermenace ont essayé de nouvelles tactiques et techniques, les ont jugées efficaces et les ont ajoutées à leur arsenal de base.
En 2021, plusieurs campagnes de cyberattaques et acteurs de la cybermenace sont devenus des noms familiers, car les effets des cyberattaques ont été ressentis bien au-delà des entreprises ciblées. Le paysage moderne des menaces se compose d'attaques plus importantes, plus voyantes et à plus fort impact, car la cybercriminalité se professionnalise de plus en plus et les acteurs de la cybermenace cherchent à tirer le maximum de valeur ou d'impact de leurs attaques.
Ci-dessous, nous examinons de plus près les principaux défis auxquels les entreprises ont été confrontées en 2021, et ce à quoi elles peuvent s'attendre en 2022.
Téléchargez le rapport sur la sécurité 2022 Inscrivez-vous pour un bilan de sécurité gratuit
Chaque année, certaines menaces se développent rapidement car les cybercriminels concentrent leurs efforts sur une technique d'attaque particulièrement efficace ou lucrative, comme par exemple logiciel rançonneur ou le cryptojacking. Cependant, l'une des tendances les plus inquiétantes en 2021 a été la croissance de la cybercriminalité dans tous les domaines.
En 2021, le nombre total de et zero-day a augmenté de 50 % d'une année sur l'autre. Toutefois, certains domaines ont été plus durement touchés que d'autres, l'éducation, la recherche et les soins de santé ayant subi le plus gros des dommages. Cela montre que les acteurs de la cybermenace se concentrent sur les régions qui sont de plus en plus dépendantes de la technologie et moins préparées à se protéger contre les cybermenaces.
Une croissance aussi rapide des attaques est de mauvais augure pour 2022. À mesure que les acteurs de la cybermenace affinent leurs techniques et tirent parti de l'apprentissage machine et de l'automatisation, le nombre et l'impact des attaques ne peuvent que croître.
Attaques contre la chaîne d'approvisionnement ont pris de l'importance à la fin de l'année 2020, se sont développées tout au long de l'année 2021 et devraient continuer à représenter une menace majeure en 2022. En décembre 2020, la découverte du piratage de SolarWinds a été à l'origine de cette tendance.
Les acteurs de la menace ont compromis l'environnement de développement de SolarWinds et inséré un code de porte dérobée dans son produit de surveillance du réseau Orion. La découverte du logiciel malveillant Sunburst a donné le coup d'envoi d'une enquête approfondie qui a permis de découvrir non seulement les détails du piratage de SolarWinds, mais aussi de multiples variantes de logiciels malveillants et une campagne d'attaque qui a touché plus de 18 000 organisations des secteurs public et privé.
SolarWinds a donné le coup d'envoi d'une vague d'attaques contre la chaîne d'approvisionnement qui s'est poursuivie tout au long de l'année 2021 et jusqu'en 2022. L'attaque de Kaseya, qui s'est appuyée sur les relations entre les fournisseurs de services gérés (MSP) et les clients pour distribuer des logiciels rançonneurs utilisant les logiciels de surveillance et de gestion à distance des MSP, est un autre exploit de la chaîne d'approvisionnement qui a eu une grande visibilité en 2021. Quelques mois plus tard, un attaquant ayant accès au compte npm d'une bibliothèque largement utilisée (ua-parser.js), a modifié le code de manière à ce que le logiciel malveillant soit installé sur les systèmes de toute personne ayant téléchargé et utilisé la version malveillante de la bibliothèque.
Bien que ces attaques et d'autres attaques de la chaîne d'approvisionnement de 2021 aient eu un impact considérable, la plus célèbre est probablement l'exploitation de la chaîne d'approvisionnement. Log4J zero-day vulnérabilité. Log4J est une bibliothèque de journalisation Apache largement utilisée, et la vulnérabilité zero-day permettait à un attaquant qui pouvait contrôler le contenu des messages de journalisation ou leurs paramètres d'atteindre les objectifs suivants exécution de code à distance. Cette faille "Log4Shell" a été largement exploitée, la Recherche aux Check Point ayant détecté environ 40 000 tentatives d'attaques dans les deux heures qui ont suivi sa publication et plus de 830 000 tentatives dans les trois premiers jours.
Les attaques très médiatisées de 2021 contre la chaîne d'approvisionnement ont montré qu'il s'agit d'un vecteur d'attaque viable et potentiellement rentable pour les acteurs de la cybermenace. En 2022, les acteurs de la cybermenace vont probablement recourir davantage aux attaques contre la chaîne d'approvisionnement afin d'amplifier la portée et l'impact de leurs attaques.
La pandémie de COVID-19 a entraîné un changement radical dans la façon de travailler. Au lieu que les employés travaillent principalement depuis le siège de l'entreprise, un pourcentage beaucoup plus important de la main-d'œuvre travaille à distance et devrait continuer à le faire dans un avenir prévisible.
La pandémie a donné le coup d'envoi d'une cyberpandémie car les acteurs de la cybermenace se sont adaptés aux changements intervenus dans les opérations informatiques des entreprises et en ont tiré parti. L'essor du travail à distance a fait des ordinateurs des employés - souvent des appareils personnels - la première ligne de défense de l'entreprise, et la montée en puissance de l'adoption du cloud pour soutenir la main-d'œuvre à distance et atteindre les objectifs de la transformation numérique a créé de nouveaux vecteurs d'attaque pour les acteurs de la cybermenace.
Deux ans après le début de la pandémie, peu de choses ont changé. De nombreuses entreprises continuent de soutenir une main-d'œuvre en grande partie ou totalement à distance, et l'adoption du site cloud continue de croître. Alors que les cybercriminels continuent de tirer parti de la vulnérabilité et des failles de sécurité engendrées par cette transformation informatique rapide, les entreprises s'efforcent de sécuriser leurs systèmes et de protéger les données de l'entreprise et de ses clients.
Le passage au travail à distance, inspiré par la pandémie, s'est accompagné d'une adoption rapide de l'infrastructure et des services basés sur le site cloud. Les solutions de logiciel en tant que service (modèle SaaS) ont comblé des lacunes cruciales - telles que le besoin de réunions en ligne et de partage de fichiers - et l'infrastructure basée sur le site clouda été plus accessible et plus facile à gérer par une main-d'œuvre à distance.
Depuis le passage rapide au télétravail et le site cloud en 2020, les entreprises ont eu l'occasion de résoudre un grand nombre des problèmes de sécurité les plus importants causés par une transition rapide avec peu ou pas de planification à l'avance. Cependant, certains Sécurité du cloud Des lacunes subsistent, et les acteurs de la cybermenace continuent de travailler pour devancer le personnel de sécurité et tirer parti du rôle vital que l'informatique cloud joue dans l'entreprise moderne.
Beaucoup de ces attaques visent des vulnérabilités dans l'infrastructure cloud elle-même, ce qui permet à un attaquant d'exploiter de nombreuses cibles avec une seule vulnérabilité. En septembre 2021, la vulnérabilité OMIGOD a été découverte. L'exploitation des agents logiciels de l'Open Management Infrastructure (OMI) de Microsoft intégrés dans les machines virtuelles Azure aurait pu permettre des attaques contre 65 % des clients Azure jusqu'à ce qu'ils soient corrigés.
OMIGOD n'est pas le seul problème de sécurité découvert dans Azure en 2021. La vulnérabilité de ChaosDB découverte en août permettait un contrôle total des ressources cloud des clients Azure Cosmos DB grâce à une clé compromise. Azurescape a ciblé l'offre Container as a Service (CaaS) d'Azure et a permis l'exploitation des clusters Kubernetes d'autres clients au sein du même espace public. Service dans le Cloud. Bien qu'Azurescape ait été corrigé avant d'être exploité, les retombées potentielles auraient pu être importantes.
Azure n'est pas le seul service cloud à avoir souffert de vulnérabilité et d'attaques en 2021. Une vulnérabilité dans Google's Compute Engine (GCE), utilisé dans l'offre Infrastructure as a Service (IaaS) de Google cloud, aurait pu permettre la prise de contrôle complète des machines virtuelles hébergées. La contrebande d'en-têtes HTTP peut attaquer la passerelle API d'AWS et Cognito (fournisseur d'authentification) afin de contourner les restrictions d'accès et d'empoisonner le cache. Une erreur de configuration dans les autorisations AWS pourrait permettre au personnel d'assistance AWS de lire les données stockées dans les buckets S3 plutôt que les métadonnées.
L'adoption croissante du site cloud s'accompagne d'une surveillance accrue, tant de la part des pirates éthiques que des acteurs de la cybermenace. L'exemple de 2021 montre qu'il est probable que d'autres problèmes liés à la sécurité du cloud seront découverts en 2022 et au-delà.
Le logiciel rançonneur s'est fait connaître grâce à la WannaCry en 2017. Depuis lors, de nombreux groupes de logiciels rançonneur ont vu le jour, ce qui en fait une menace permanente et coûteuse pour toutes les entreprises.
En 2021, les groupes du logiciel rançonneur ont démontré leur capacité et leur volonté d'avoir un impact sur les organisations au-delà de leurs cibles directes. Le piratage de Colonial Pipeline en est l'exemple le plus flagrant : le groupe Dark Side logiciel rançonneur a provoqué une fermeture d'une semaine de l'un des principaux oléoducs desservant la côte est des États-Unis.
Cependant, Colonial Pipeline, s'il est peut-être l'attaque la plus visible du logiciel rançonneur en 2021, est loin d'être la seule. Le même mois, une autre attaque a visé JBS S.A., la plus grande entreprise de transformation de la viande au monde. Cette attaque a eu des répercussions internationales, entraînant la fermeture d'usines aux États-Unis et d'abattoirs en Australie, ce qui s'est traduit par l'annulation de 3 000 postes de travail et le licenciement de 7 000 employés.
Au-delà de ces attaques très médiatisées, les groupes du logiciel rançonneur ont également fortement ciblé les secteurs de l'éducation et de la santé. Ces attaques ont entraîné la fermeture d'écoles, la perte d'informations sensibles dans le domaine de l'éducation et des soins de santé, ainsi que le report de procédures médicales non urgentes ou facultatives. De multiples attaques menées par des hacktivistes ont provoqué des perturbations publiques en Iran en ciblant les chemins de fer et les stations-service.
logiciel rançonneur se sont révélées efficaces et rentables pour les attaquants. À moins que cela ne change, ils continueront à représenter une menace cybernétique majeure pour les organisations.
Un autre impact du passage au travail à distance a été l'adoption généralisée de politiques "Bring-Your-Own-appareil" (BYOD). En permettant aux employés de travailler à partir d'appareils personnels, les entreprises ont peut-être amélioré la productivité et la fidélisation du personnel, mais elles ont aussi perdu une visibilité vitale en matière de sécurité et la capacité de réagir aux infections qui menacent les systèmes et les solutions de l'entreprise.
L'augmentation de l'utilisation des appareils mobiles a également rendu les outils de cyberespionnage tels que Pegasus plus efficaces et plus dangereux. Développé par le groupe NSO, le logiciel malveillant utilise plusieurs exploits de type "zero-click" pour accéder aux appareils cibles avant d'en prendre le contrôle et de collecter des données à partir de différentes sources (textes, téléphone, email, etc.). Pegasus est officiellement réservé aux gouvernements, aux forces de l'ordre, etc., mais il a déjà été utilisé de manière abusive pour cibler des journalistes, des activistes, des fonctionnaires et des dirigeants d'entreprise. Inspiré par le succès de Pegasus, Cytrox, un pays de Macédoine du Nord, propose désormais un outil similaire appelé Predator, et cette menace est susceptible de se propager également aux acteurs courants de la cybermenace.
En 2021, les cybercriminels ont adapté leurs tactiques pour tirer parti de l'adoption croissante de la téléphonie mobile. Plusieurs chevaux de Troie mobiles logiciels malveillants sont apparus, notamment FlyTrap, Triada et MasterFred logiciels malveillants. Ces chevaux de Troie mobiles tirent parti des médias sociaux, de la faiblesse des contrôles de sécurité des magasins d'applications et d'autres techniques similaires pour obtenir l'accès et les autorisations nécessaires sur l'appareil cible.
Malware mobile et les acteurs de la cybermenace ont également adopté la tactique du Smishing, en envoyant des contenus de hameçonnage par SMS plutôt que par courrier électronique. Le botnet FluBot Android est connu pour cela, utilisant même un message texte sur une fausse infection par FluBot pour se propager. Les attaques par smishing ont pris de l'ampleur car elles nécessitent peu de compétences techniques et sont relativement peu coûteuses, les kits de hameçonnage se vendant entre 50 et 100 dollars américains.
Les appareils mobiles sont devenus un nouveau front dans la lutte contre la cybercriminalité. Pour l'entreprise moderne, Protection mobile est un élément clé de la stratégie de cybersécurité d'une entreprise.
2021 a démontré que les acteurs de la cybermenace adaptent leurs techniques à un monde en mutation et à un secteur en pleine maturation. Au lieu de rester dans l'ombre, les cybercriminels lancent des attaques massives contre la chaîne d'approvisionnement avec des répercussions mondiales, perturbent des secteurs clés avec des attaques de logiciel rançonneur et adaptent leurs tactiques à une main-d'œuvre de plus en plus mobile et centrée sur le site cloud.
En 2022, les entreprises peuvent s'attendre à être confrontées à des attaques sophistiquées ciblant chaque partie de leur infrastructure informatique, en particulier là où elles sont les plus faibles. Les entreprises manquent cruellement de visibilité et de contrôle sur le site cloud et sur les appareils BYOD, qui sont donc les cibles privilégiées des cybercriminels.
Pour se défendre contre les campagnes modernes de cybermenaces, il faut pouvoir réagir rapidement et correctement à des attaques en évolution rapide qui peuvent frapper n'importe où dans l'infrastructure informatique d'une organisation. Les organisations ont besoin d'une visibilité complète en matière de sécurité, d'un accès à des renseignements en temps réel sur les menaces et d'une architecture de sécurité intégrée capable de prendre en charge une prévention des menaces et une réponse automatisées et coordonnées dans l'ensemble de l'infrastructure informatique de l'entreprise.
Apprenez à développer l'immunité de votre organisation face aux attaques cybernétiques et aux menaces modernes de 5e génération en adoptant les stratégies et les recommandations de l'étude. 2023 Cyber Security Report aujourd'hui. Commencez à vous attaquer au problème en identifiant les angles morts et les points faibles de votre entreprise en matière de sécurité avec Bilan de sécurité de Check Point.