En 2023, le CERT-Wavestone (équipe de réponse à incident) a traité près de 40 incidents majeurs de cybersécurité pour des grandes entreprises ou des organismes publics, majoritairement français. Et pour 16 d’entre eux, une équipe dédiée a été mise en place pour accompagner le pilotage et la gestion de crise.

De manière générale, l’année a été riche en matière de cyber attaques, les groupes de cyber criminels étant toujours plus actifs. Face au contexte géopolitique tendu en Europe, si certains groupes d’attaquants se sont radicalisés pour effectuer des actions de déstabilisations en soutien de la Russie, la menace a peu évolué : la majorité des groupes d’attaquants reste motivée par des gains financiers, et continue de se développer à cette fin.

Réponse à incident : les leçons de 2023

  • La motivation principale des attaques reste le gain financier, avec 46% des incidents gérés. Le moyen d’extorsion le plus utilisé est toujours le ransomware.
  • La porte d’entrée principale des attaquants demeure l’utilisation frauduleuse de comptes valides. Parmi les compromissions, les comptes Office 365 sont fortement représentés.
  • Les attaques opportunistes dominent l’échantillon à 77%. En complément des ransomwares, elles ciblent aussi les données sensibles des organisations victimes, avec la menace d’une publication comme moyen de pression privilégié.
  • Nous commençons dès aujourd’hui à voir les enjeux de demain : capacité de découplage de SI en urgence, préparation aux Jeux Olympiques de 2024 et influence de l’Intelligence Artificielle.
Gérôme Billois

Gérôme Billois

Associé, Cybersécurité
Wavestone

Toutes les organisations doivent rester en alerte sur les cybermenaces ; les plus petites devant augmenter leur niveau de maturité en cyber sécurité en commençant par les bases (mises en place de mesures de protection et de détection), et les plus grandes doivent continuer les investissements, en particulier face à des cas de fraudes de plus en plus poussées et face aux menaces liées à l’IA.

Motivations : l’appât du gain, indétrônable

Des attaquants principalement motivés par l’argent

46%

des attaques ont une motivation financière


Avec 46% des dossiers traités par le CERT-Wavestone, la motivation pécuniaire domine le classement, avec le ransomware comme moyen prédominant.

Espionnage, vol de données… les nouveautés de 2023

  • Pour la première fois depuis 2019, le panel fait apparaître des actes d’espionnage – conséquence directe du contexte géopolitique.
  • Le nombre de fraudes et vols de données augmente, représentant respectivement 19% et 25% des attaques répondant à une motivation financière en 2023. 
  • La part d’attaques sans motivation claire est en forte hausse : 29% des incidents traités en 2023, contre 16% en 2022. Cette incertitude peut en réalité être interprétée comme une bonne nouvelle : l’amélioration des capacités de détection et de réaction des entreprises permet de stopper les attaques avant les premiers impacts sur le système d’information.

Vecteurs d’attaque : les comptes utilisateurs en première ligne

Vol de comptes utilisateurs valides, la porte d’entrée privilégiée des cyber criminels

Cette année encore, les comptes utilisateurs valides restent une cible de choix (42%), devant les sites web vulnérables (23%) et les systèmes d’accès distants (17%). Les accès à ces comptes sont obtenus par l’achat de base de données sur le darknet, l’exploitation de mots de passe faibles, ou encore très largement par des techniques de phishing.

Tendance 2023 : la compromission des comptes Office 365

En 2023, les compromissions de compte Office 365 sont fréquentes. Parmi les facteurs d’explications :

  • la très forte utilisation de cette solution bureautique dans les entreprises ;
  • le manque de sécurisation de ces comptes lors de leur mise en place.

Dans l’ensemble des cas observés, la mise en place d’authentification multi-facteurs (MFA) aurait permis d’empêcher la compromission des comptes en question.

Cibles : un opportunisme qui nuit aux plus petites structures

Si tous les secteurs et toutes les tailles d’entreprises sont ciblés, cinq tendances se confirment.

Les grandes entreprises ont amélioré leurs capacités de détection et de réponse sur les dernières années, et sont donc moins touchées par les attaques.

En réponse, les cyber criminels s’orientent vers des cibles plus simples et moins matures en cybersécurité.

La menace de publication des données volées est devenue le moyen de pression le plus efficace auprès des entreprises qui en sont victimes. En 2032, 77% des cas de ransomwares observés combinaient du vol de données direct et des exfiltrations en amont du chiffrement ; la note de rançon faisait quasi-systématiquement mention du vol de données.

Les attaquants ont trouvé dans les environnements ou plateformes de virtualisation une façon de toucher plusieurs centaines voire milliers de serveurs virtuels en une seule attaque. Ces infrastructures sont ainsi devenues l’une de leurs cibles préférées.

L’exécution d’un ransomware est passée de plusieurs semaines à quelques jours. Cette réduction du temps d’attaque a permis l’apparition d’attaques impliquant de multiples ransomwares, où des groupes d’attaquant différents peuvent s’en prendre à une même victime à moins de 2 jours d’écart – comme partagé par le FBI dans sa notification de septembre.

Les investissements des grandes entreprises en protection et détection portent leurs fruits. Pour preuve : en un an, le temps de détection d’une attaque a été réduit de près de 50%, passant de 35 jours en 2022 à 18 jours aujourd’hui.

71 jours

temps de détection moyen des attaques par les PMEs


A l’inverse, moins matures en cybersécurité que les grands groupes, les PMEs (Petites et Moyennes Entreprises) sont plus vulnérables aux attaques opportunistes. Elles mettent plus de temps à détecter la menace : 71 jours en moyenne ! Dans les plus petites structures, la détection d’une attaque est souvent liée à l’apparition des premiers impacts métiers, plutôt qu’à la détection par les outils et services de sécurité.

De façon générale, le marché monte en maturité. Les attaques sont de plus en plus remontées par des partenaires et des tiers. Les petites structures touchées sont alors parfois alertées par leurs plus grands clients.

Les défis de la cybersécurité en 2023 et au-delà

Gérer des crises de nouvelle envergure avec le découplage

Sur l’année 2023, nous avons dû gérer des crises de nouvelle ampleur, nécessitant un “découplage rapide” de systèmes d’information. Plusieurs situations d’urgence peuvent entraîner ce besoin d’isolation rapide de pans entiers de systèmes :

  • pour des raisons géopolitiques, pour isoler un périmètre géographique,
  • ou du fait de la compromission de fournisseurs ou de partenaires de l’organisation concernée, avec la nécessité d’isoler une entité ou une fonction métier.

Le déclenchement de la gestion de crise est essentiel pour assurer un premier niveau de découplage rapide, et place à nouveau les enjeux de cyber résilience au cœur des réflexions de cyber sécurité.

Quentin Perceval

Quentin Perceval

Responsable du CERT-Wavestone

La maîtrise de son cœur d’activité et des infrastructures sous-jacentes est un prérequis indispensable pour être en mesure de réagir efficacement face à une cyber attaque et de limiter les impacts métier.

Se préparer aux Jeux Olympiques de Paris 2024

L’un des grands enjeux de 2024 sera d’anticiper le pic évident de cyber attaques ciblant les Jeux Olympiques de Paris.

Cet événement majeur génère usuellement de multiples cyber attaques, directement sur l’événement et ses partenaires (attaques ciblées, vols de données, tentatives d’interruption, etc.) mais aussi indirectement sur le grand public et la sphère numérique (fraudes, dénis de service, etc.). Toutes les structures doivent se préparer à cette période particulière qui tombe au milieu de l’été, là où les problèmes de contention de personnel seront particulièrement importants.

Prévoir l’exploitation de l’IA par les cyber criminels

L’autre menace à anticiper pour 2024 et pour le futur est celle de l’intelligence artificielle.

D’une part, car les cyber criminels détournent aujourd’hui des applications de l’Intelligence Artificielle générative pour améliorer leurs capacités d’attaque, plus nombreuses et plus performantes. Par exemple avec des textes de meilleure qualité, des codes malveillants rénovés ou encore en utilisant des fausses vidéos/photos générées par l’IA (deepfake).

D’autre part, car les cyber criminels attaquent les IA directement en utilisant des méthodes d’attaques innovantes. Cela leur permet d’empoisonner des systèmes pour les faire dysfonctionner et, par exemple, contourner les mécanismes de lutte contre la fraude ou encore de voler des données en faisant parler à outrance les chatbots.

Méthodologie du rapport CERT-Wavestone 

Temporalité

L’édition 2023 du rapport CERT-Wavestone est basée sur des données observées entre les mois de septembre 2022 et septembre 2023.

Données analysées

Cette étude se base sur les cyber-incidents et les crises gérés par le cabinet Wavestone sur la période : 37 attaques, dont 16 crises majeures.