Secteurs d’activité les plus touchés, intrusions à redouter, profil de cyberpirates le plus répandu : le nouveau rapport OverWatch de l’éditeur CrowdStrike revient sur les grandes tendances concernant les cyber-attaques qui se sont profilées ce dernier semestre. Plus de 25 000 tentatives d’intrusions ont ainsi été passées au crible par les experts de l’éditeur, sur la base de rapports fournis par une équipe de “chasseurs de menaces”. Un travail d’envergure durant lequel ces derniers, spécialisés dans les tactiques, techniques et procédures d’intrusion (TTP), ont étudié 1 milliard d’événements de sécurité par semaine dans 176 pays. Les résultats sont édifiants.
48% des attaquants commandités par des Etats-nations
Le rapport soulève un phénomène qui a de quoi créer le malaise : seul 19% des intrusions identifiées proviennent de cybercriminels « freelance », tandis que 48% seraient le fait « d’attaquants ayant un lien direct avec un État-nation ». Ce qui signifie que, en majorité, les attaques sont des commandes gouvernementales, par exemple à des fins d’espionnage, ou de truchement d’élections, par exemple dans le cas de Trump aux Etats-Unis…
Stratégie PTT
Et ce n’est pas une première. En 2017, l’éditeur avait déjà tiré la sonnette d’alarme sur ce phénomène en observant un modus operandi bien particulier. En l’occurrence, certains attaquants, commandités par un Etat-nation ou par une organisation criminelle, agissent en brouillant les frontières entre les tactiques, techniques et procédures (TTP). Si ces opérations requièrent normalement des individus hautement qualifiés, les choses sont en train de changer. Depuis 2018, le rapport note que des novices, de plus en plus nombreux, s’essaient désormais à ces TTP…
La Chine, berceau des cyber-criminels
Autre fait intéressant, la majorité des attaquants, mais aussi les plus redoutables, sont basés en Chine. Ces cyber-attaquants ne connaissent aucune limite et ciblent un nombre croissant de secteurs d’activité, de l’exploitation minière à l’industrie pharmaceutique, en passant par les services ou encore la biotechnologie.
L’espionnage industriel en vogue
Justement, en ce qui concerne le secteur des biotech, la menace semble se faire de plus en plus prégnante. Selon le rapport, les attaquants dont les actions s’intensifient ont pour motif principal l’espionnage industriel. Avec pour tactique principale de capturer les données critiques provenant d’organisations du secteur et de les accumuler au fil du temps.
Minage des crypto-monnaies
Autre tendance notable, les cybercriminels éprouvent un intérêt grandissant pour le crypto-jacking. En particulier en ce qui concerne les secteurs du droit et de l’assurance, la stratégie adoptée vise à décrocher un accès privilégié aux réseaux internes. « Aujourd’hui, certains attaquants utilisent de manière frauduleuse la puissance de calcul des systèmes informatiques d’une entreprise afin de miner des crypto-monnaies », précise le rapport.
Adopter une approche pro-active
« Les organisations ne peuvent plus compter que sur des approches réactives pour rester protégées. Au lieu de cela, elles doivent partir de l’hypothèse que quelqu’un a peut-être déjà franchi le périmètre. Elles doivent le chercher de façon proactive 24 heures sur 24, 7 jours sur 7 et 365 jours par an dans leurs systèmes », estime Jennifer Ayers, Vice Présidente de CrowdStrike OverWatch and Security Response.
Deux heures pour réagir
A cet égard, l’éditeur a développé une méthode, le « Breakout Time », consistant à identifier le temps qu’il faut à un attaquant pour pénétrer un système et en prendre le contrôle. Soit a priori 1 heure et 58 minutes en moyenne. En d’autres termes, une entreprise ciblée dispose donc d’à peine deux heures pour réagir et empêcher l’attaquant de commettre des dégâts irréparables. Plus précisément, l’éditeur considère que l’organisation victime a une minute pour identifier l’intrusion, 10 minutes pour en trouver la cause, et une heure pour repousser l’attaque.
Ségolène Kahn
Commentez