Il faut moins d’une journée à des cyberattaquants pour atteindre l’Active Directory, l’un des actifs les plus critiques pour une entreprise

La grande majorité des attaques de ransomwares se produisent en dehors des heures de bureau

Paris, France — août 23, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie son étude Active Adversary Report for Tech Leaders 2023, une analyse approfondie des comportements et outils des auteurs de cyberattaques au premier semestre 2023. L’analyse de cas de réponse aux incidents (IR) Sophos de janvier à juillet 2023 par Sophos X-Ops révèle que le temps médian d’exposition d’une attaque – le délai qui s’écoule entre son début et sa détection – s’est réduit de 10 à 8 jours pour tous les types d’attaques, et même 5 jours pour les attaques de ransomwares. En 2022, le temps médian d’exposition était déjà descendu de 15 à 10 jours.

En outre, Sophos X-Ops a découvert qu’il faut en moyenne moins d’une journée – environ 16 heures – aux auteurs d’une attaque pour atteindre l’Active Directory, l’un des actifs les plus critiques pour une entreprise. L’Active Directory gère généralement les identités et les accès des ressources au sein de l’entreprise, ce qui permet à des cyberattaquants de facilement rehausser leurs privilèges sur un système pour pouvoir s’y connecter et se livrer à diverses activités malveillantes. 

« L’attaque de l’infrastructure Active Directory d’une entreprise est pertinente du point de vue des cybercriminels, car il s’agit en général du système le plus puissant et privilégié sur le réseau, leur donnant un large accès à des systèmes, applications, ressources et données qu’ils pourront ensuite exploiter. Un cyberattaquant qui prend le contrôle de l’Active Directory peut prendre celui de l’entreprise. L’impact, l’escalade et les coûts de récupération d’une attaque contre l’Active Directory expliquent pourquoi celui-ci est ciblé », commente John Shier, Field CTO chez Sophos.

 « L’accès et la prise de contrôle du serveur de l’Active Directory dans le cadre de la chaîne d’attaque offrent plusieurs avantages aux cyberattaquants. Ceux-ci peuvent ainsi passer inaperçus afin de préparer leur coup suivant, et, une fois prêts à passer à l’action, ils pourront déferler sans entrave sur le réseau de leur victime. »

« La récupération totale d’un domaine piraté peut être longue et ardue. Ce type d’attaque endommage les fondements de la sécurité sur lesquels repose l’infrastructure d’une entreprise. Bien souvent, le succès d’une attaque Active Directory contraint l’équipe de sécurité à repartir de zéro. »

Le temps d’exposition des attaques de ransomwares a lui aussi reculé. Celles-ci sont le type d’attaque le plus répandu (69 %) parmi les cas d’IR analysés et leur temps médian d’exposition est d’à peine cinq jours. Dans 81 % des attaques de ransomwares, la charge malveillante finale a été lancée en dehors des heures de bureau classiques. Pour celles lancées pendant les heures de bureau, seules cinq se sont produites en semaine. 

Le nombre des attaques détectées augmente à mesure que la semaine avance, plus particulièrement dans le cas des attaques de ransomwares. Près de la moitié (43 %) d’entre elles sont détectées le vendredi ou le samedi. 

« D’une certaine manière, nous sommes victimes de notre propre succès. Alors que progresse l’adoption de technologies telles que XDR et de services tels que MDR, il en va de même pour notre capacité à détecter les attaques plus vite. La réduction des délais de détection se traduit par une réponse plus rapide, et donc par une fenêtre d’action plus étroite pour les cyberattaquants. Dans le même temps, ceux-ci affûtent leurs stratégies, en particulier les affiliés chevronnés et pleins de ressources des groupes de ransomwares, qui ne cessent d’accélérer leurs attaques bruyantes face à des défenses renforcées. »

« Cela ne veut pas dire que notre sécurité collective en soit renforcée pour autant. J’en veux pour preuve la stabilisation des temps d’exposition des attaques autres que les ransomwares. Les cyberattaquants parviennent toujours à s’introduire dans nos réseaux et, lorsque le temps ne presse pas, ils ont tendance à s’y attarder. Or tous les outils du monde ne vous sauveront pas si vous ne les surveillez pas. Il vous faut associer les bons outils à une surveillance continue et proactive pour mener la vie dure aux cybercriminels. C’est là où notre service MDR peut véritablement combler le retard entre cyberattaquants et cyberdéfenseurs, car, même lorsque vous ne surveillez pas, nous le faisons pour vous », conclut John Shier.

L’étude Sophos Active Adversary Report for Tech Leaders s’appuie sur les investigations de réponse aux incidents (IR) menées par Sophos à travers le monde, dans 25 secteurs d’activité de janvier à juillet 2023. Les entreprises ciblées se répartissent dans 33 pays sur six continents. 88 % des cas concernent des entreprises de moins de 1000 salariés. 

L’étude Sophos Active Adversary Report for Business Leaders fournit aux professionnels de la sécurité des informations exploitables issues de la veille des menaces ainsi que des analyses nécessaires pour la mise en œuvre optimale de leur stratégie de sécurité.

Pour en savoir plus sur les comportements, outils et techniques des cyberattaquants, lire l’étude Time Keeps on Slippin’ Slippin’ Slippin’: The 2023 Active Adversary Report for Tech Leaders sur Sophos.com.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de sécurité avancées pour surmonter les cyberattaques. Sophos offre des services managés de détection et réponse (MDR) et de réponse aux incidents, ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 600 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central et sont optimisés par Sophos X-Ops, l’unité de renseignement sur les menaces transversales de la société. La technologie Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un data lake centralisé exploitant un riche ensemble d’API ouvertes disponibles pour les clients, les partenaires, les développeurs et d’autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité entièrement managées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services managés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur sophos.fr.