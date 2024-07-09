L’environnement des cyberattaques a connu des changements radicaux et une croissance énorme au cours de la dernière décennie.
J’ai parlé à Michelle Alvarez, responsable stratégique X-Force de l’analyse des menaces chez IBM, qui m’a dit que le changement le plus visible dans le domaine de la cybersécurité peut se résumer en un mot : l’échelle. Il y a dix ans, les « méga-violations » étaient relativement rares, mais elles semblent désormais être un phénomène quotidien.
L’environnement de la cybersécurité a été impacté par d’importants événements mondiaux, notamment ces dernières années. Cela inclut la pandémie de COVID-19, ainsi que les récents conflits militaires entre la Russie et l’Ukraine et entre Israël et le Hamas.
Selon Alvarez, ces événements ont motivé à la fois des acteurs de la menace cherchant à tirer profit de ces crises, ainsi que des activités soutenues par des États. Les attaques par ingénierie sociale ont exploité l’anxiété du public face aux événements géopolitiques mondiaux, par exemple dans des campagnes d’e-mails visant à diffuser des logiciels malveillants. Les chaînes d’approvisionnement sont devenues plus vulnérables pendant la pandémie.
Si les principales cibles nationales des attaques les plus importantes restent l'Amérique du Nord, l'Europe et l'Asie, M. Alvarez a également indiqué que la décennie a été marquée par une forte augmentation des attaques en Amérique latine.
Contexte global : L'année 2013 a été marquée par l'essor du cloud computing, qui a élargi la surface d'attaque des cybercriminels. Les révélations de Snowden ont commencé en juin 2013.
En 2013, le ransomware a commencé à gagner en popularité et les violations de données sont devenues plus fréquentes.
La violation de données de Target a compromis 40 millions de comptes de cartes de crédit et de débit ainsi que 70 millions de comptes client. Adobe Systems a également été victime d’une faille qui a exposé 38 millions de comptes d’utilisateurs. De son côté, le New York Times a été attaqué par l’armée syrienne, qui a mis son site Web hors ligne pendant près de deux heures. La violation de données Yahoo a compromis 500 millions de comptes utilisateurs, même si elle n’a pas été signalée pendant trois ans.
En 2013, plus d’un demi-milliard d’enregistrements de données personnelles, y compris des noms, des e-mails, des numéros de cartes de crédit et des mots de passe, ont été volés.
Le contexte mondial : en 2014, la complexité des cyberattaques a augmenté, tout comme la sophistication globale des opérations coordonnées au niveau international des forces de l’ordre et des fournisseurs de sécurité.
Comme l’année précédente, les violations de données ont constitué un problème important, notamment dans les secteurs de la finance et de l’assurance, de l’information et de la communication, ainsi que dans le secteur manufacturier. Les menaces persistantes avancées (APT) sont devenues plus sophistiquées, et l’Internet des objets (IdO) est apparu comme un nouveau vecteur d’attaque.
Le piratage de Sony Pictures a révélé des données d’entreprise sensibles et des films inédits. La faille de Home Depot a compromis 56 millions de numéros de cartes de crédit et 53 millions d’adresses e-mail. La faille Heartbleed, une vulnérabilité critique de la bibliothèque logicielle cryptographique OpenSSL, a également fait les gros titres.
Contexte mondial : l’année a été marquée par une attention particulière portée à la protection des infrastructures critiques et à l’essor des systèmes cyberphysiques. La complexité croissante des cyberincidents a mis en évidence la nécessité de disposer de meilleurs renseignements sur les menaces.
Les incidents liés aux accès non autorisés ont explosé. Environ 60 % des attaques ont été menées par des initiés, par malveillance ou par accident. Les attaquants ont accéléré l’exploitation des failles Zero Day. Les ransomwares ont continué de se développer, ciblant à la fois des particuliers et des entreprises. Les vulnérabilités de l’IdO se sont accrues et le phishing est resté un vecteur d’attaque courant.
La faille d’Anthem a exposé les informations personnelles de 78,8 millions de personnes. Le piratage d’Ashley Madison a divulgué des données sensibles sur les utilisateurs du site de rencontres. Quant à la violation des données de TalkTalk, elle a donné lieu à des attaques de phishing sophistiquées. Les secteurs de la santé, de la vente au détail, des services financiers et de l’industrie pharmaceutique sont les plus ciblés.
Contexte mondial : d’importantes tensions géopolitiques, notamment l’élection présidentielle américaine, qui a donné lieu à de nombreuses cyber-ingérences.
Des groupes parrainés par des États ont pris pour cible des entités politiques et des ransomwares ont été plus ciblés et plus sophistiqués. Les attaques par déni de service distribué (DDoS) ont augmenté en termes de fréquence et d’échelle.
Le Comité national démocratique (DNC) a piraté des e-mails et des documents. Le botnet Mirai a également lancé des attaques DDoS massives, perturbant les principaux sites Web.
Plus de 4 milliards d’enregistrements ont été divulgués en 2016, soit plus que les deux années précédentes combinées. Dans un cas, une seule source a divulgué plus de 1,5 milliard d’enregistrements.
Contexte mondial : L’année a été marquée par des tendances géopolitiques persistantes et un essor des cryptomonnaies, ce qui a stimulé les activités cybercriminelles.
Les attaques par ransomware comme WannaCry et NotPetya ont provoqué des perturbations de très grande ampleur. Le cryptojacking est apparu comme une menace réelle, exploitant les systèmes compromis pour miner des cryptomonnaies. Les attaques de la chaîne d’approvisionnement ont augmenté.
Le ransomware WannaCry a affecté plus de 200 000 ordinateurs dans 150 pays. La fuite de données chez Equifax a exposé les informations personnelles de 147 millions de personnes. L’attaque NotPetya a profondément perturbé les entreprises du monde entier.
Le contexte mondial : le renforcement de la surveillance réglementaire, notamment la mise en œuvre du RGPD, a perturbé certaines grandes entreprises en 2018.
Le ransomware a continué d’évoluer avec des tactiques de plus en plus sophistiquées. Le phishing reste une menace importante, avec des attaques de phishing ciblé plus précises. La sécurité du cloud est devenue un enjeu majeur.
La fuite chez Marriott a révélé les données de 500 millions de clients. Le scandale Facebook-Cambridge Analytica a mis en lumière des questions de confidentialité des données et d’utilisation abusive. La violation de SingHealth à Singapour a compromis les données personnelles de 1,5 million de patients.
Les attaques de cryptojacking ont augmenté de 450 % entre le premier et le quatrième trimestre 2018.
Contexte mondial : L'année a été marquée par un accent mis sur la critique des infrastructures adresse et la lutte contre la menace croissante des ransomwares et du phishing.
Les ransomwares ont dominé le domaine de la cybersécurité, avec des attaques contre les municipalités et les services de santé. Le phishing a évolué grâce à des techniques plus sophistiquées. La sécurité IdO a entraîné une augmentation des attaques sur les appareils connectés.
La faille de sécurité chez Capital One a exposé les données de 100 millions de clients. L’attaque du ransomware de Baltimore a perturbé les services de la ville pendant des semaines. La faille de Quest Diagnostics (qui a commencé en 2018, mais ne s’est arrêtée qu’en mars 2019) a touché 11,9 millions de patients.
Contexte mondial : la pandémie de COVID-19 a radicalement changé le paysage de la cybersécurité. L’essor du télétravail a pris de court les professionnels de la cybersécurité et a augmenté la surface d’attaque. De plus, l’année a été marquée par une recrudescence des attaques contre les systèmes de santé.
Le ransomware ciblait principalement la santé et les infrastructures critiques. L’hameçonnage a exploité les peurs liées à la pandémie. Les vulnérabilités liées au télétravail ont entraîné une augmentation des attaques contre les infrastructures de télétravail.
Le piratage de SolarWinds, qui a eu lieu en 2019 et 2020, a compromis plusieurs agences gouvernementales américaines et des entreprises privées. Un piratage de Twitter a permis de détourner des comptes de premier plan pour promouvoir une escroquerie à la crypto-monnaie. L’attaque du rançongiciel Magellan Santé a touché 365 000 patients. Et la faille d’Accellion a commencé à toucher plusieurs entreprises.
Contexte mondial : La pandémie continuera d'influencer les cybermenaces.
Les ransomwares restent la principale menace, avec des attaques encore plus sophistiquées. Les attaques de la chaîne d’approvisionnement ont augmenté. L’hameçonnage reste une menace importante.
L’attaque par ransomware Colonial Pipeline a perturbé l’approvisionnement en carburant aux États-Unis. L’attaque ransomware Kaseya VSA a touché des centaines d’entreprises dans le monde. Et la vulnérabilité Log4j a été largement exploitée, affectant de nombreuses entreprises.
Contexte mondial : l’année a été marquée par la poursuite des tensions géopolitiques, notamment le conflit russo-ukrainien.
Les ransomwares ont continué de dominer, avec des attaques plus ciblées. Les attaques contre la chaîne d’approvisionnement restent une menace importante. L’IA et machine learning étaient de plus en plus utilisés aussi bien par les attaquants que par les défenseurs.
L’attaque par ransomware au Costa Rica a perturbé les services du gouvernement. La violation de données de Nvidia a révélé des informations sensibles sur les employés.
Contexte mondial : les tensions géopolitiques persistantes et la montée de l’IA et de l’informatique quantique ont posé de nouveaux défis.
Le ransomware a vu une résurgence des attaques avec des tactiques plus sophistiquées. Les attaques alimentées par l'IA se sont multipliées, automatisant et accélérant les attaques. Les attaques contre la chaîne d'approvisionnement continuent d'être une menace importante.
La vulnérabilité MOVEit Transfer a été exploitée pour voler des données à plusieurs entreprises. La vulnérabilité de Microsoft Exchange Server a été largement exploitée et a touché de nombreuses entreprises. La violation de données de T-Mobile a exposé les données de 37 millions de clients.
Les principales tendances qui ressortent clairement de ce résumé sont l’ augmentation de la sophistication et de la gravité des attaques par ransomware (qui ont augmenté de manière spectaculaire depuis 2013), ainsi que l’exploitation généralisée de la pandémie et du phénomène du télétravail. Selon M. Alvarez, il y a dix ans, les ransomwares étaient surtout connus des professionnels de la sécurité. Aujourd’hui, la menace est suffisamment répandue pour être connue du grand public.
Deux autres tendances ont été observées, selon M. Alvarez : la montée en puissance des attaques d’exploitation des vulnérabilités du cloud et les attaques par compromission d’e-mail d’entreprise (BEC). Ces tendances sont en partie dues à l’exploitation de mauvaises configurations de sécurité ou de failles de sécurité dans le cloud, à l’utilisation abusive de mots de passe et de noms d’utilisateur, ainsi qu’à une formation insuffisante.
Qui sait ce qui va se passer au cours de la prochaine décennie ? Si l’on va dans le sens de l’histoire, l’environnement (informatique) des menaces continuera de s’étendre, les acteurs de la menace gagneront en sophistication (avec l’aide de l’IA) et les acteurs malveillants, motivés par l’argent et soutenus par les États s’attaqueront à des objectifs de plus en plus stratégiques.
