Une cyberattaque désigne un effort intentionnel visant à voler, exposer, modifier, désactiver ou détruire des données, des applications ou d’autres actifs par le biais d’un accès non autorisé à un réseau, un système informatique ou un appareil numérique.
Des petits larcins aux actes de guerre, les cybercriminels lancent des cyberattaques pour toutes sortes de raisons. Ils utilisent une variété de tactiques, comme les attaques via logiciels malveillants, les arnaques par ingénierie sociale et le vol de mots de passe, pour obtenir un accès non autorisé aux systèmes cibles.
Les cyberattaques peuvent perturber, endommager et même détruire une entreprise. Le coût moyen d'une violation de données s’élève à 4,45 millions de dollars. Cela couvre les coûts liés à la découverte et à la réponse après la violation, aux temps d’arrêt et aux pertes de revenus, ainsi que l’atteinte à la réputation d’une entreprise et de sa marque sur le long terme.
Cela dit, certaines cyberattaques peuvent coûter bien plus que d’autres. Les attaques par ransomware exigent le paiement de rançons pouvant atteindre 40 millions de dollars (lien externe à ibm.com). Les escroqueries par compromission d’e-mails professionnels (BEC, Business Email Compromise) ont déjà volé jusqu’à 47 millions de dollars aux victimes en une seule attaque (lien externe à ibm.com). Quant aux cyberattaques qui compromettent les informations personnelles identifiables (PII) des clients, elles peuvent entraîner une perte de confiance des clients, des amendes réglementaires et même des poursuites judiciaires. Selon une estimation, la cybercriminalité coûtera à l’économie mondiale 10,5 billions de dollars par an d’ici 2025 (lien externe à ibm.com).
Les motivations derrière les cyberattaques peuvent varier, mais elles sont principalement de trois types : criminel, politique et personnel.
Les pirates à motivation criminelle cherchent à obtenir un gain financier par le biais d’un vol d’argent, d’un vol de données ou d’une interruption de l’activité. Dans ce cas, ils décident de pirater un compte bancaire pour voler de l’argent directement ou utilisent des techniques d’ingénierie sociale pour inciter les gens à leur envoyer de l’argent. Les pirates informatiques peuvent voler des données et les utiliser pour commettre une usurpation d’identité, les vendre sur le dark web ou demander une rançon.
L’extorsion est une autre tactique populaire. Les pirates ont alors recours à des ransomwares, des attaques par déni de service distribué (DDoS, Distributed Denial of Service) ou d’autres tactiques pour prendre des données ou des appareils en otage jusqu’à ce qu’une entreprise paie la rançon. Selon le X-Force Threat Intelligence Index, 27 % des cyberattaques visent à extorquer leurs victimes.
Les cybercriminels à motivation personnelle, tels que le personnel actuel ou ancien mécontent, cherchent principalement à se venger de certaines personnes qui leur auraient causé des torts. Ces pirates peuvent chercher à prendre de l’argent, voler des données sensibles ou perturber les systèmes d’une entreprise.
Les cybercriminels à motivation politique sont souvent associés à la cyberguerre, au cyberterrorisme ou au hacktivisme. Dans la cyberguerre, les acteurs des États-nations ciblent souvent les agences gouvernementales ou les infrastructures critiques de leurs ennemis. Par exemple, depuis le début de la guerre entre la Russie et l’Ukraine, les deux pays ont connu une vague de cyberattaques contre les institutions vitales (lien externe à ibm.com). En revanche, les pirates informatiques engagés, appelés « hacktivistes », peuvent ne pas causer de dommages importants à leurs cibles. Au lieu de cela, ils cherchent généralement à attirer l’attention sur leur cause en faisant connaître leurs attaques au grand public.
Les motivations moins courantes en matière de cyberattaques comprennent l’espionnage d’entreprise, par le biais duquel les pirates volent la propriété intellectuelle pour obtenir un avantage déloyal sur leurs concurrents et le vigilantisme informatique, qui consiste à exploiter les vulnérabilités d’un système pour en avertir les autres. Certains hackers piratent simplement pour la pratique, savourant le défi intellectuel que les attaques représentent.
Organisations criminelles, acteurs étatiques, particuliers : n’importe qui peut lancer des cyberattaques. C’est pourquoi on classe plutôt les cybercriminels en menaces externes ou internes.
Les menaces extérieures ne sont pas autorisées à utiliser un réseau ou un appareil, mais s’y introduisent quand même. Parmi ces menaces, on compte les groupes criminels organisés, les pirates informatiques professionnels, les acteurs sponsorisés par les États, les pirates amateurs et les hacktivistes.
Les menaces internes correspondent aux utilisateurs qui ont un accès autorisé et légitime aux actifs d’une entreprise et abusent de leurs privilèges délibérément ou accidentellement. Cette catégorie comprend le personnel, les partenaires commerciaux, les clients, les prestataires et les fournisseurs ayant accès au système.
Bien que les utilisateurs négligents puissent mettre leur entreprise en danger, il ne s’agit d’une cyberattaque que si l’utilisateur utilise intentionnellement ses privilèges pour procéder à des activités malveillantes. Un employé qui stocke imprudemment des informations sensibles sur un disque non sécurisé ne commet pas de cyberattaque, mais un employé mécontent qui copie sciemment des données confidentielles à des fins personnelles l’est.
Les cybercriminels s’introduisent généralement dans les réseaux informatiques à la recherche de quelque chose de précis. En voici les exemples les plus courants :
Dans certains cas, les cybercriminels ne veulent rien voler du tout. Ils cherchent simplement à perturber les systèmes d’information ou l’infrastructure informatique pour nuire à une entreprise, à une agence gouvernementale ou à une autre cible.
En cas de succès, les cyberattaques peuvent nuire aux entreprises. Elles causent éventuellement des temps d’arrêt, des pertes de données et des pertes d’argent. Par exemple :
En plus de nuire directement à la cible, les cyberattaques génèrent parfois de nombreux coûts et conséquences secondaires. Par exemple, le rapport 2023 sur le coût d’une violation de données a révélé que les entreprises dépensent en moyenne 2,62 millions de dollars pour détecter, traiter et corriger les violations.
Les cyberattaques peuvent également faire des victimes au-delà de la cible immédiate. En 2021, le gang du ransomware DarkSide a attaqué le Colonial Pipeline, le plus grand système d’oléoducs aux États-Unis. Les pirates informatiques se sont emparés du réseau de l’entreprise à l’aide d’un mot de passe compromis (lien externe à ibm.com), ce qui a forcé la fermeture de l’oléoduc qui transporte 45 % du gaz, du diesel et du carburéacteur qui approvisionnent la côte est des États-Unis, et donc entraîné des pénuries généralisées de carburant.
Les cybercriminels ont demandé une rançon de presque 5 millions de dollars en cryptomonnaies Bitcoin, que Colonial Pipeline a payée (lien externe à bm.com). Cependant, avec l’aide du gouvernement américain, l’entreprise a finalement récupéré 2,3 millions de dollars.
Les cybercriminels utilisent de nombreux outils et techniques sophistiqués pour lancer des cyberattaques contre les systèmes informatiques d’entreprise, les ordinateurs personnels et d’autres cibles. En voici les types les plus courants :
Le logiciel malveillant, ou malware, peut rendre les systèmes infectés inopérables. Il est capable de détruire des données, voler des informations ou même effacer des fichiers essentiels à l’exécution du système d’exploitation. Les logiciels malveillants se présentent sous de nombreuses formes, notamment :
Les attaques d’ingénierie sociale incitent les victimes à effectuer des actions qu’elles ne devraient pas faire, comme partager des informations privées, télécharger des logiciels dangereux ou envoyer de l’argent à des criminels.
L’hameçonnage est l’une des attaques d’ingénierie sociale les plus répandues. Selon le rapport sur le coût d’une violation de données, il s’agit de la deuxième cause la plus courante de violations. Les attaques d’hameçonnage les plus élémentaires utilisent de faux e-mails ou SMS pour voler les identifiants des utilisateurs, exfiltrer des données sensibles ou diffuser des logiciels malveillants. Les messages d’hameçonnage sont souvent conçus pour être considérés comme provenant d’une source légitime. Ils incitent généralement la victime à suivre un lien hypertexte qui les mène vers un site Web malveillant ou à ouvrir une pièce jointe d’e-mail qui s’avère être un logiciel malveillant.
Les cybercriminels ont également développé des méthodes d’hameçonnage plus sophistiquées. Le harponnage est une attaque très ciblée qui vise à manipuler une personne spécifique, en utilisant souvent les détails de ses profils publics sur les réseaux sociaux pour rendre la ruse plus convaincante. Le whale phishing est un type de harponnage qui cible spécifiquement les dirigeants d’entreprise de haut niveau. Dans le cadre d’une fraude BEC, les cybercriminels se font passer pour des dirigeants, des fournisseurs ou d’autres partenaires accrédités pour inciter les victimes à transférer de l’argent ou à partager des données sensibles.
Les attaques par déni de service (DoS, Denial of Service) et par déni de service distribué (DDoS) inondent les ressources d’un système avec du trafic frauduleux. Ce trafic submerge le système et l’empêche ainsi de répondre aux requêtes légitimes en réduisant sa capacité de fonctionnement. Une attaque DoS peut être une fin en soi ou préparer le terrain pour une autre attaque.
La différence entre les attaques DoS et DDoS tient simplement au fait que les attaques DoS utilisent une source unique pour générer du trafic frauduleux, tandis que les attaques DDoS en utilisent plusieurs. Les attaques DDoS sont souvent menées à l’aide d’un botnet, un réseau d’appareils connectés à Internet et infectés par des logiciels malveillants sous le contrôle d’un pirate informatique. Les botnets peuvent inclure des ordinateurs portables, des smartphones et des appareils de l’Internet des objets (IdO). Les victimes ne savent souvent pas quand un botnet a détourné leurs appareils.
La compromission de compte renvoie à toute attaque dans laquelle les pirates détournent le compte d’un utilisateur légitime pour une activité malveillante. Les cybercriminels peuvent s’introduire dans le compte d’un utilisateur de plusieurs façons, par exemple en volant des identifiants par le biais d’attaques d’hameçonnage ou en achetant des bases de données de mots de passe volées sur le dark web. Ils peuvent utiliser des outils d’attaque par mot de passe comme Hashcat et John the Ripper pour briser les chiffrements de mots de passe ou organiser des attaques par force brute, qui consistent à exécuter des scripts ou des bots automatisés pour générer et tester des mots de passe potentiels jusqu’à ce qu’ils fonctionnent.
Dans une attaque de l’homme du milieu, également appelée attaque d’écoute clandestine, un pirate informatique intercepte secrètement les communications entre deux personnes ou entre un utilisateur et un serveur. Les attaques de l’homme du milieu sont généralement menées via des réseaux Wi-Fi publics non sécurisés, où il est relativement facile pour les acteurs malveillants d’espionner le trafic.
Les pirates informatiques peuvent être en mesure de lire les e-mails d’un utilisateur ou même de modifier secrètement le contenu des e-mails avant qu’il n’atteigne le destinataire. Dans une attaque par détournement de session, le cybercriminel interrompt la connexion entre un utilisateur et un serveur hébergeant des actifs importants, comme une base de données d’entreprise confidentielle. Le cybercriminel échange son adresse IP avec celle de l’utilisateur, faisant croire au serveur qu’il s’agit d’un utilisateur légitime connecté à une session légitime. Cela donne carte blanche au pirate informatique pour voler des données ou faire des ravages.
Les attaques visant la chaîne d’approvisionnement sont des cyberattaques dans lesquelles les pirates informatiques brisent les défenses d’une entreprise en ciblant ses fournisseurs de logiciels, de matériel et autres services. Étant donné que les fournisseurs sont souvent connectés aux réseaux de leurs clients d’une manière ou d’une autre, les pirates peuvent utiliser le réseau du fournisseur comme vecteur d’attaque pour accéder à plusieurs cibles à la fois.
Par exemple, en 2020, des acteurs de l’État russe ont piraté le fournisseur de logiciels SolarWinds et distribué des logiciels malveillants à ses clients sous couvert d’une mise à jour logicielle (lien externe à ibm.com). Ce logiciel malveillant a permis à des espions russes d’accéder aux données sensibles de diverses agences gouvernementales américaines utilisant les services de SolarWinds, notamment les départements du Trésor, de la Justice et de l’État.
Les attaques par cross-site scripting (XSS) insèrent du code malveillant dans une page Web ou une application Web légitime. Lorsqu’un utilisateur visite le site ou l’application, le code s’exécute automatiquement dans le navigateur Web de l’utilisateur, volant généralement des informations sensibles ou redirigeant l’utilisateur vers un site Web frauduleux et malveillant. Les pirates informatiques utilisent fréquemment JavaScript pour les attaques XSS.
Les attaques par injection SQL utilisent le langage SQL pour envoyer des commandes malveillantes à la base de données backend d’un site Web ou d’une application. Les pirates informatiques saisissent les commandes par le biais de champs orientés utilisateur tels que les barres de recherche et les fenêtres de connexion. Les commandes sont ensuite transmises à la base de données, l’invitant à renvoyer des données privées telles que les numéros de carte bancaire ou les détails du client.
La tunnellisation DNS masque le trafic malveillant dans des paquets DNS, ce qui lui permet de contourner les pare-feu et autres mesures de sécurité. Les cybercriminels utilisent la tunnellisation DNS pour créer des canaux de communication secrets, qui peuvent leur servir à discrètement extraire des données ou établir des connexions entre les logiciels malveillants et un serveur de contrôle et de commande (C&C).
Les exploits zero day tirent parti des vulnérabilités zero day, c’est-à-dire des vulnérabilités inconnues de la communauté de sécurité ou identifiées mais pas encore corrigées. Ces vulnérabilités peuvent exister pendant des jours, des mois, voire des années avant que les développeurs n’en prennent connaissance, ce qui en fait des cibles de choix pour les pirates informatiques.
Les attaques sans fichier utilisent les vulnérabilités des logiciels légitimes pour injecter du code malveillant directement dans la mémoire d’un ordinateur. Les cybercriminels s’appuient souvent sur PowerShell, un outil de script intégré aux systèmes d’exploitation Microsoft Windows, pour exécuter des scripts malveillants qui modifient les configurations ou volent des mots de passe.
Les attaques d’usurpation de DNS, également appelées « empoisonnement de cache DNS », modifient les enregistrements DNS pour remplacer l’adresse IP réelle d’un site Web par une fausse. Lorsque les victimes tentent de visiter le site réel, elles sont redirigées sans le savoir vers une copie malveillante qui vole leurs données ou propage des logiciels malveillants.
Les entreprises peuvent réduire les cyberattaques en implémentant des systèmes et des stratégies de cybersécurité. La cybersécurité consiste à protéger les systèmes critiques et les informations sensibles contre les attaques numériques à l’aide d’une combinaison de technologies, de personnes et de processus.
De nombreuses organisations mettent en place une stratégie de gestion des menaces pour identifier et protéger leurs actifs et ressources les plus importants. La gestion des menaces peut inclure des politiques et des solutions de sécurité telles que :
Il est impossible de prévenir entièrement les tentatives de cyberattaque : les entreprises peuvent donc aussi utiliser une surveillance continue de la sécurité et des processus de détection précoce pour identifier et signaler les cyberattaques en cours. En voici quelques exemples :
Les organisations peuvent également prendre des mesures pour assurer une réponse appropriée aux cyberattaques en cours et aux autres événements de cybersécurité. En voici quelques exemples :
Déjouez les cyberattaques grâce à une suite sécurité connectée et modernisée. Le portefeuille QRadar est doté d’une IA de niveau professionnel et offre des produits intégrés pour la sécurité des points de terminaison, la gestion des journaux, le SIEM et le SOAR, le tout avec une interface utilisateur commune, des informations partagées et des flux de travaux connectés.
La recherche proactive des menaces, la surveillance continue et l’examen approfondi des menaces ne sont que quelques-unes des priorités auxquelles doit faire face un service informatique déjà très occupé. En disposant d’une équipe de réponse aux incidents fiable, vous pouvez réduire votre temps de réponse, minimiser l’impact d’une cyberattaque et vous rétablir plus rapidement.
Pour prévenir et contrer les menaces par ransomware modernes, IBM exploite 800 To de données relatives à l’activité des menaces, des informations sur plus de 17 millions de spams et d’attaques par hameçonnage et des données de réputation sur près d’un million d’adresses IP malveillantes provenant d’un réseau de 270 millions de points de terminaison.
Le Rapport sur le coût d’une violation de données présente les dernières découvertes sur l’évolution des menaces et vous propose des recommandations pour gagner du temps et limiter les pertes.
Le rapport IBM Security X-Force Threat Intelligence Index 2023 offre aux responsables informatiques, aux équipes de sécurité et aux directions des informations exploitables qui les aident à mieux comprendre comment les pirates informatiques lancent des attaques et à prendre les devants pour protéger leur organisation.
Les frameworks de préparation et d’exécution des cyberattaques X-Force fournissent un flux logique représentant les attaques d’aujourd’hui et intègrent des phases généralement omises dans d’autres cadres.