Les causes premières les plus répandues des attaques sont des vulnérabilités non corrigées et le piratage d’identifiants, tandis que les ransomwares demeurent l’objectif final le plus courant
Le temps d’exposition – le délai qui s’écoule entre le début d’une attaque et sa détection – a été ramené de 15 à 10 jours
Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie son étude Active Adversary Report for Business Leaders, une analyse approfondie de l’évolution des comportements et techniques des auteurs de cyberattaques en 2022. Les données, tirées de plus de 150 cas de réponse aux incidents (IR) par les services de Sophos, ont permis d’identifier plus de 500 outils et tactiques distincts, dont 118 exécutables de type LOLBins (Living off the Land Binaries). Ces derniers, à la différence des malwares, se trouvent de manière naturelle dans les systèmes d’exploitation, ce qui les rend bien plus difficiles à bloquer lorsqu’ils sont exploités à des fins malveillantes.
En outre, Sophos a constaté que les vulnérabilités non corrigées sont la cause première la plus courante de l’accès initial des cyberattaquants aux systèmes ciblés. De fait, dans la moitié des investigations incluses dans l’étude, les auteurs des attaques ont exploité les failles ProxyShell et Log4Shell – datant de 2021 – pour s’infiltrer dans des entreprises. La deuxième cause la plus répandue des cyberattaques est le piratage d’identifiants.
« Aujourd’hui, lorsque les cyberattaquants ne s’introduisent pas par effraction, ils se connectent au moyen d’identifiants volés. La réalité est que le paysage des menaces a gagné en volume et en complexité à tel point qu’il n’existe aucune brèche discernable dont les équipes de cyberdéfense puissent profiter. Pour la plupart des entreprises, l’époque où elles pouvaient faire cavalier seul est bien révolue. Le problème touche véritablement tout, partout et tout à la fois. Cependant, des outils et services sont à la disposition des entreprises pour alléger certaines des tâches défensives, leur permettant de se concentrer en priorité sur leur cœur de métier », commente John Shier, Field CTO Commercial chez Sophos.
Plus de deux tiers (68 %) des attaques analysées par l’équipe Sophos IR font intervenir des ransomwares, ce qui démontre que ceux-ci demeurent l’une des menaces les plus omniprésentes pour les entreprises. Les ransomwares figuraient également dans près de trois quarts des investigations menées par Sophos IR au cours des trois dernières années.
Tandis que les ransomwares continuent de dominer le paysage des menaces, le temps d’exposition a baissé en 2022, ramené de 15 à 10 jours, pour tous les types d’attaques. Il est passé de 11 à 9 jours dans le cas des ransomwares mais a reculé plus nettement encore pour les autres attaques (de 34 jours en 2021 à seulement 11 jours en 2022). Toutefois, contrairement aux années précédentes, aucune variation significative n’a été observée dans les temps d’exposition entre des entreprises ou secteurs de différentes tailles.
« Les entreprises qui ont réussi à mettre en place des défenses à plusieurs niveaux, assorties d’une surveillance constante, enregistrent de meilleurs résultats en ce qui concerne la gravité des attaques. Corollaire de ce renforcement des défenses, les cyberattaquants doivent passer à la vitesse supérieure. En conséquence, il faut détecter plus tôt ces attaques plus rapides. La course entre les cyberattaquants et les équipes de cyberdéfense va continuer de s’intensifier et ce sont les entreprises dépourvues d’une surveillance proactive qui en subiront les plus lourdes conséquences », conclut John Shier.
L’étude Sophos Active Adversary Report for Business Leaders s’appuie sur 152 investigations de réponse aux incidents (IR) à travers le monde, dans 22 secteurs d’activité. Les entreprises ciblées se répartissent dans 31 pays : Etats-Unis, Canada, Royaume-Uni, Allemagne, Suisse, Italie, Autriche, Finlande, Belgique, Suède, Roumanie, Espagne, Australie, Nouvelle-Zélande, Singapour, Japon, Hong Kong, Inde, Thaïlande, Philippines, Qatar, Bahreïn, Arabie saoudite, Émirats Arabes Unis, Kenya, Somalie, Nigeria, Afrique du Sud, Mexique, Brésil, Colombie. Les secteurs les plus représentés sont l’industrie (20 %), suivie de la santé (12 %), de l’éducation (9 %) et du commerce (8 %).
L’étude Sophos Active Adversary Report for Business Leaders fournit aux entreprises des informations exploitables issues de la veille des menaces ainsi que des analyses nécessaires pour l’optimisation de leur stratégie de sécurité et de leurs défenses.
Pour en savoir plus sur les comportements, outils et techniques des cyberattaquants, lire l’étude Active Adversary Report for Business Leaders, sur Sophos.com.