Chaque année, les analystes IBM® X-Force évaluent les données collectées dans toutes nos disciplines de sécurité afin de créer l’indice IBM X-Force Threat Intelligence, notre rapport annuel qui retrace les évolutions de l’environnement (informatique) des cybermenaces afin de révéler les tendances et d’aider les clients à mettre en place des mesures de sécurité de manière proactive. Parmi les nombreuses conclusions de l’édition 2024 du rapport X-Force, trois grandes tendances se dégagent, que nous suggérons aux professionnels de la sécurité et aux RSSI d’observer :
Les cybercriminels préfèrent emprunter la voie de la moindre résistance pour atteindre leurs objectifs et il est donc préoccupant de constater que, pour la première fois dans notre recherche, l’utilisation abusive de comptes valides est devenue un moyen privilégié d’accès aux environnements des victimes pour les cybercriminels. L'utilisation d'identifiants volés pour accéder à des comptes valides a augmenté de 71 % par rapport à l'année précédente et représente 30 % de tous les incidents auxquels X-Force a répondu en 2023, à égalité avec le phishing en tant que principaux vecteurs d'infection.
Au moment même où les lignes de défense renforcent leurs capacités de détection et de prévention, les attaquants se rendent compte que l’année dernière, il était « plus facile » d’obtenir des identifiants valides pour atteindre leurs objectifs. Cela n’est pas vraiment surprenant, compte tenu de la grande quantité d’identifiants facilement accessibles sur le Dark Web. Pourtant, cette « porte d’entrée facile » est difficile à détecter, ce qui exige une réponse complexe de la part des entreprises pour distinguer l’activité légitime de l’activité malveillante au niveau des utilisateurs du réseau.
Le phishing, par l’intermédiaire d’une pièce jointe, d’un lien ou d’un service, a également représenté 30 % de tous les incidents résolus par X-Force en 2023, bien que le volume de phishing ait diminué de 44 % par rapport à 2022. La baisse significative des compromissions observées pour le phishing reflète probablement à la fois l’adoption continue des techniques d’atténuation du phishing et le passage des attaquants à l’utilisation d’identifiants valides.
De plus, X-Force a observé une augmentation de 100 % du « Kerberoasting » lors des missions de réponse aux incidents. Le Kerberoasting est une technique visant à compromettre les informations d’identification Microsoft Windows Active Directory par le biais de tickets Kerberos. Cela indique un changement de technique de la part des pirates informatiques cherchant à acquérir des identités pour mener à bien leurs opérations.
Ces changements suggèrent que les acteurs de la menace ont réévalué les informations d’identification en tant que vecteur d’accès initial fiable et privilégié.
L’utilisation abusive de comptes valides comme principale technique d’accès s’est accompagnée d’une recrudescence de logiciels malveillants, connus sous le nom d’infostealers, conçus pour voler des informations afin d’obtenir des identifiants. Nous avons constaté une hausse de 266 % du nombre de logiciels malveillants dédiés au vol d’informations ; nous observons des groupes qui se tournent vers les infostealers alors qu’ils privilégiaient jusque-là les ransomwares.
Malgré le fait qu’il reste l’action la plus courante sur objectif (20 %), X-Force a observé une baisse de 11,5 % des incidents de ransomware en entreprise. Cette baisse est probablement due au fait que les grandes organisations bloquent les attaques avant le déploiement du ransomware et choisissent de reconstruire plutôt que de payer la rançon si le ransomware s'installe. (Il convient de noter que l'analyse des sites d'extorsion de ransomware indique que l'activité mondiale des ransomwares a en fait augmenté en 2023. Cela semble indiquer que les clients de X-Force ont continué à améliorer leurs capacités à détecter les signes avant-coureurs d'un ransomware et à y répondre.
Même si X-Force a observé une baisse des attaques par ransomware, les attaques basées sur l’extorsion ont continué d’être un moteur de la cybercriminalité l’année dernière, seulement précédées par le vol et les fuites de données dans la catégorie des impacts les plus courants observés lors des incidents X-Force. Par exemple, X-Force a répondu à de multiples incidents liés aux attaques généralisées d’extorsion de données du groupe de ransomware CL0P qui a exploité une vulnérabilité jusque-là inconnue de MOVEit, un outil de transfert de fichiers géré (MFT) couramment utilisé.
Bien que les vulnérabilités zero-day soient très connues, la réalité est qu’elles ne représentent qu’un très faible pourcentage de la surface d’attaque, soit seulement 3 % du total des vulnérabilités détectées par X-Force. En 2023, le nombre de failles zero-day a diminué de 72 % par rapport à 2022, avec seulement 172 nouvelles vulnérabilités zero-day. Bien que le nombre total de vulnérabilités zero day ait diminué, les organisations doivent continuer de mettre l’accent sur la connaissance de leur surface d’attaque et sur l’identification et la correction des vulnérabilités dans leur environnement afin d’éviter de nombreuses attaques.
L'année dernière restera dans l'histoire comme l’année de la percée de l'IA générative. Les responsables des politiques, les dirigeants d’entreprise et les professionnels de la cybersécurité sont autant de catégories soumises à l’injonction d’adopter l’IA pour leurs opérations. Et cette pression liée à l’adoption de l’IA générative va au-delà de la capacité du secteur à mesurer les risques de sécurité que ces nouvelles capacités feront naître. Cependant, une surface d’attaque universelle de l’IA se matérialisera une fois que son adoption atteindra un volume critique, obligeant les organisations à privilégier des mesures de sécurité à l’échelle, capables de s’adapter aux menaces associées à l’IA.
Pour parvenir à cette conclusion, X-Force s’est penché sur les catalyseurs technologiques et les étapes qui ont favorisé les activités cybercriminelles dans le passé afin de prédire quand nous verrons des indicateurs de la maturité de la surface d’attaque de l’IA. X-Force prévoit que cela se produira une fois qu'une seule technologie d'IA approchera les 50 % de part de marché, ou lorsque le marché se consolidera autour de trois technologies ou moins.
En outre, malgré les signes d’intérêt des cybercriminels pour l’exploitation de l’IA générative dans leurs attaques, X-Force n’a observé à ce jour aucune preuve concrète de cyberattaques conçues par l’IA générative. Le phishing devrait être l’un des premiers cas d’utilisation malveillante de l’IA dans lesquels les cybercriminels investiront, réduisant ainsi le temps nécessaire à la rédaction de messages convaincants de plusieurs jours à quelques minutes. Mais bien qu’il ne soit pas improbable de voir des attaques facilitées par l’IA signalées à court terme, X-Force estime qu’une activité généralisée ne s’établira pas tant que l’adoption de l’IA par les entreprises n’aura pas atteint sa maturité.
La combinaison de l’augmentation du nombre d’infostealers et de l’utilisation abusive d’identifiants valides pour obtenir un accès initial a renforcé les difficultés de la gestion des identités et des accès pour les défenseurs. Ce nouvel environnement des menaces ciblant les identités met en évidence les risques qui pèsent sur les appareils en dehors de la visibilité des organisations, et ces dernières doivent continuer d’informer leur personnel sur les bonnes pratiques de sécurité. Les données d’identification des entreprises peuvent être volées à partir d’appareils compromis par la réutilisation d’identifiants, le stockage d’identifiants dans les navigateurs ou l’accès aux comptes de l’entreprise directement à partir d’appareils personnels.
Même si les « principes fondamentaux de la sécurité » ne soient pas autant un sujet que les « attaques conçues par l’IA », il n’en reste pas moins que le plus gros problème de sécurité des entreprises se résume aux éléments de base connus et non aux nouveautés encore à découvrir. L’identité est constamment utilisée contre les entreprises, un problème qui va s’aggraver à mesure que les adversaires investissent dans l’IA pour optimiser cette tactique.
L’IBM X-Force Threat Intelligence Index offre nos informations uniques aux clients d’IBM, aux chercheurs des secteurs de la sécurité, aux décideurs, aux médias et à l’ensemble de la communauté des professionnels de la sécurité et des chefs d’entreprise.
Plus d’informations dans le rapport sur l’environnement (informatique) des menaces et sur les dernières tendances en matière de cybersécurité :
Téléchargez le rapport et lisez le résumé du webcast pour une discussion avec Kevin Albano, partenaire associé d’IBM X-Force, et Ryan Leszczynski, agent spécial superviseur de la division cybernétique du FBI. Ils proposeront une explication détaillée des résultats et de leurs implications pour les organisations qui luttent contre ces menaces en constante évolution.