La durée médiane d’exposition dans le monde tombe à son niveau le plus bas depuis plus de dix ans. Les services financiers sont le secteur le plus ciblé par les attaquants.
Mandiant, filiale de Google Cloud, publie les conclusions de son rapport M-Trends 2024. Ce rapport annuel, désormais dans sa 15e année, fournit une analyse experte des tendances basée sur les enquêtes et remédiations de Mandiant sur les cyberattaques de première ligne menées en 2023. Le rapport 2024 montre que les entreprises ont considérablement amélioré leurs capacités défensives, identifiant les activités malveillantes qui les affectent plus rapidement qu'au cours des années précédentes. Le rapport se penche également sur les acteurs et les campagnes de menaces notables, offrant un aperçu ciblé sur l'activité des menaces par région.
Jurgen Kutscher, vice-président de Mandiant Consulting chez Google Cloud, rappelle : « Les attaquants adaptent régulièrement leurs tactiques, techniques et procédures pour atteindre leurs objectifs, ce qui peut représenter un défi pour les défenseurs. Malgré cela, nos enquêteurs de première ligne ont appris que les organisations ont fait un meilleur travail en 2023 pour protéger les systèmes et détecter les compromissions.
Les défenseurs peuvent être fiers, mais les organisations doivent rester vigilantes. L'un des thèmes clés de M-Trends 2024 est que les attaquants prennent des mesures pour échapper à la détection et rester plus longtemps sur les systèmes, et l'une des façons dont ils y parviennent est l'utilisation de vulnérabilités de type Zero Day. Cela souligne l'importance d'un programme efficace de chasse aux menaces, ainsi que la nécessité de mener des enquêtes approfondies et de prendre des mesures correctives en cas de violation. »
Le temps d’exposition médian à l'échelle mondiale atteint son point le plus bas
Alors que l'utilisation d'exploits Zero-Day est en hausse, le rapport M-Trends 2024 révèle une amélioration significative de la posture mondiale en matière de cybersécurité. Le temps d’exposition médian mondial - le temps pendant lequel les attaquants restent indétectés dans un environnement cible - a atteint son point le plus bas depuis plus d'une décennie. En 2023, les organisations ont détecté les intrusions dans un délai médian de
10 jours, ce qui représente une baisse notable par rapport aux 16 jours de 2022. La réduction des délais est probablement due à une plus grande proportion d'incidents de ransomware en 2023 (23%) par rapport à 2022 (18%). Mandiant a également constaté une amélioration de la détection interne des compromissions en 2023 (46%), contre 37% en 2022. Ces deux tendances - des temps d'attente plus courts et un plus grand nombre d'événements détectés en interne - suggèrent que les défenseurs ont globalement amélioré leurs capacités de détection.
Temps d’exposition par région
Un examen plus approfondi révèle que le temps d’exposition median varie selon les régions. Les organisations de la région Asie-Pacifique (JAPAC) ont connu la baisse la plus spectaculaire, réduisant leur durée médiane à 9 jours, contre 33 jours en 2022. À l'inverse, la région EMEA (Europe, Moyen-Orient et Afrique) a connu une légère augmentation du temps d'attente, qui est passé de 20 à 22 jours. Cette légère variation pourrait être le résultat d'une normalisation des données régionales suite à la part importante du travail de Mandiant en Ukraine en 2022.
Ciblage par secteur d'activité
Le rapport M-Trends 2024 met en évidence les principales tendances en matière de ciblage des industries par les cyberattaquants. Mandiant a le plus souvent répondu à des intrusions dans des organisations de services financiers (17%) en 2023. Suivent les services commerciaux et professionnels (13%), la haute technologie (12%), la vente au détail et l'hôtellerie (9%), et les soins de santé (8%).
Les industries les plus ciblées ont en commun la possession d'une grande quantité d'informations sensibles, notamment des données commerciales exclusives, des informations personnelles identifiables, des informations de santé protégées et des dossiers financiers. Cela en fait des cibles particulièrement attrayantes pour les attaquants qui cherchent à exploiter ce type de données sensibles.
Parmi les autres points à retenir du rapport, citons
- L'accent mis sur l'évasion : Afin de persister le plus longtemps possible sur les réseaux, les attaquants ciblent de plus en plus les appareils périphériques, en utilisant des techniques de survie et en exploitant des vulnérabilités de type Zero Day.
- Intensification des efforts d'espionnage par les acteurs liés à la Chine : Les groupes d'espionnage de la Chine du Nord continuent d'accorder la priorité à l'acquisition d'exploits de type Zero Day et d'outils spécifiques aux plates-formes. Ils cibleront probablement les appareils et les plates-formes de pointe dotés de solutions de sécurité minimales, car il est plus facile de les compromettre sans être détecté et pendant une période plus longue.
- Les exploits de type Zero Day en pleine expansion : les exploits de type Zero Day ne sont plus l'apanage d'un petit nombre d'acteurs sélectionnés. La tendance à l'augmentation de leur disponibilité devrait se poursuivre en raison de facteurs tels que les ransomwares et les groupes d'extorsion de données qui les utilisent, la poursuite de l'exploitation parrainée par les États et l'augmentation des kits d'exploitation « clés en main » disponibles dans le commerce. Pour en savoir plus sur la manière dont les acteurs de la menace utilisent les Zero Day, consultez le tout premier rapport conjoint de Mandiant et Google Threat Analysis Group sur le sujet.
- Le ciblage de l'informatique dématérialisée s'aligne sur l'adoption : L'adoption de l'informatique dématérialisée s'accompagne d'un ciblage des attaquants sur ces environnements, y compris les configurations hybrides entre l'informatique dématérialisée et l'informatique sur site. Il est conseillé aux entreprises de mettre en place des contrôles plus stricts afin de limiter l'accès aux ressources en cloud aux seuls utilisateurs autorisés.
- Potentiel des équipes rouges avec les grands modèles de langage (LLM) et l'IA : comme d'autres professionnels de la cybersécurité, les équipes rouges peuvent tirer parti des LLM et de l'IA dans leur travail. Les cas d'utilisation pourraient impliquer que les équipes rouges génèrent des données pour l'entraînement des modèles tandis que les développeurs d'IA trouvent des moyens de sécuriser l'accès aux modèles entraînés. Cette synergie pourrait considérablement renforcer l'efficacité des équipes rouges et améliorer la préparation des organisations face aux cybermenaces.
- Évolution des tactiques de contournement de l'authentification multi-facteurs : Alors que l'authentification multi-facteurs devient une pratique courante, les attaquants développent des méthodes pour contourner les protections qu'elle offre. Une tendance préoccupante est l'augmentation des pages de phishing de proxy web et d'adversaires au milieu (AiTM) qui volent les jetons de session de connexion, contournant ainsi le MFA.
Conclusion de Stuart McKenzie, Managing Director, Mandiant Consulting EMEA, Google Cloud : « Le niveau de défense contre les attaques de base s'est fortement amélioré dans la région EMEA, avec une meilleure prise de conscience et de meilleures compétences dans tous les domaines. Il est important que les organisations cherchent à maintenir cette dynamique au cours de l'année à venir, car les auteurs de menaces qui peuvent avoir le plus grand impact continuent d'être bien financés, ciblés et sophistiqués dans leur approche. Les exploits restent la principale méthode d'intrusion dans la région EMEA. Le temps et les ressources considérables qu'il faut investir pour découvrir les vulnérabilités, en particulier les Zero Day, mettent en évidence leur valeur pour les pirates, de sorte que les organisations doivent régulièrement évaluer leurs stratégies de défense pour garder une longueur d'avance sur la menace.
L'année dernière, nous avons également constaté une forte augmentation des cas de ransomware dans cette région, qui ont représenté près d'un quart de l'ensemble des enquêtes que nous avons menées dans la région EMEA. La bonne nouvelle, c'est que les organisations ont été plus rapides à repérer les acteurs du ransomware sur leurs réseaux, les détectant en moyenne en un peu plus d'une semaine. La proactivité et la préparation restent les meilleurs moyens de défense contre les ransomwares pour toute organisation.
Les attaquants cherchant à innover et à trouver de nouveaux moyens d'exploiter les vulnérabilités, il est impératif que tous les défenseurs testent en permanence leurs défenses. La protection d'une organisation est un combat permanent, mais comme le montrent les données de cette année, les défenseurs continuent de s'améliorer et de rendre la tâche plus difficile aux attaquants. »