Au sens le plus simple, une menace de cybersécurité, ou cybermenace, est une indication qu’un pirate informatique ou un acteur malveillant tente d’obtenir un accès non autorisé à un réseau pour y lancer une cyberattaque.

Les cybermenaces peuvent aller des plus évidentes, comme un e-mail d'un prince étranger offrant une petite fortune si vous fournissez votre numéro de compte bancaire, aux plus sournoises, comme une ligne de code malveillant qui se faufile au-delà des cyberdéfenses et vit sur le réseau pendant des mois ou des années avant de déclencher une violation de données coûteuse. Plus les équipes de sécurité et les employés connaissent les différents types de menaces de cybersécurité, plus ils peuvent prévenir, préparer et répondre efficacement aux cyberattaques.

Un logiciel malveillant – ou malware – est un code logiciel écrit intentionnellement pour nuire à un système informatique ou à ses utilisateurs.

Presque toutes les cyberattaques modernes impliquent un type ou un autre de logiciel malveillant. Les pirates utilisent des attaques par malware pour obtenir un accès non autorisé et rendre les systèmes infectés inutilisables, détruire des données, voler des informations sensibles et même en effacer des fichiers critiques pour le système d'exploitation.

Les types de malwares les plus courants sont les suivants :

• Le ransomware, qui verrouille les données ou l’appareil d’une victime et menace de le garder verrouillé ou de les divulguer publiquement, à moins que la victime ne paie une rançon à l’attaquant. Selon l'IBM Security X-Force Threat Intelligence Index 2023, les attaques par ransomware représentaient 17 % de l’ensemble des cyberattaques en 2022.
• Un cheval de Troie, c'est-à-dire un logiciel malveillant qui incite les gens à le télécharger en se déguisant en programme utile ou en se cachant dans un logiciel légitime. Parmi les exemples, citons les chevaux de Troie d’accès à distance (RAT), qui créent une porte dérobée secrète sur l’appareil de la victime, ou les chevaux de Troie injecteurs, qui installent des logiciels malveillants supplémentaires une fois qu’ils sont implantés sur le système ou le réseau cible.
• Les logiciels espions sont des logiciels malveillants très secrets qui recueillent des informations sensibles, comme les noms d'utilisateur, les mots de passe, les numéros de carte de crédit et d'autres données personnelles, et les transmettent à l'attaquant à l'insu de la victime.
• Les vers sont des programmes auto-répliquants qui se propagent automatiquement aux applications et aux appareils sans interaction humaine.

Souvent appelée « piratage humain », l’ingénierie sociale consiste à manipuler les cibles pour qu’elles prennent des mesures qui exposent des informations confidentielles, menacent leur propre situation financière ou celle de leur organisation ou compromettent la sécurité personnelle ou organisationnelle.

L'hameçonnage (ou phishing) est la forme d’ingénierie sociale la plus connue et la plus répandue. L'hameçonnage utilise des e-mails, des pièces jointes, des SMS ou des appels téléphoniques frauduleux pour inciter les gens à partager des données personnelles ou des identifiants de connexion, à télécharger des logiciels malveillants, à envoyer de l'argent à des cybercriminels ou à prendre d'autres mesures qui pourraient les exposer à la cybercriminalité.

Les types d’hameçonnage les plus courants sont les suivants :

• Le harponnage : une attaque très ciblée qui vise à manipuler une personne spécifique, en utilisant souvent les détails de ses profils publics sur les réseaux sociaux pour rendre la ruse plus convaincante.
• Le whaling : le harponnage ciblé par des dirigeants d’entreprise ou des personnes fortunées.
• Compromission des e-mails professionnels (BEC) : les cybercriminels se font passer pour des dirigeants, des fournisseurs ou d’autres partenaires de confiance pour inciter les victimes à transférer de l’argent ou à partager des données sensibles.

Une autre escroquerie d’ingénierie sociale courante est l’ usurpation de nom de domaine (également appelée usurpation de DNS), dans laquelle les cybercriminels utilisent un faux site Web ou un faux nom de domaine qui usurpe l’identité d’un vrai, par exemple, « applesupport.com » au lieu de support.apple.com pour inciter les gens à saisir des informations sensibles. Les e-mails d’hameçonnage utilisent souvent des noms de domaine d’expéditeur usurpés pour rendre l’e-mail plus crédible et plus légitime.

Dans une attaque de l’homme du milieu (MITM), un cybercriminel intercepte une connexion réseau et transmet des messages entre deux parties afin de voler des données. Les réseaux Wi-Fi non sécurisés sont souvent des terrains de chasse privilégiés pour les pirates qui cherchent à lancer des attaques MITM.

Une attaque par déni de service (DoS) est une cyberattaque qui submerge un site Web, une application ou un système avec des volumes de trafic frauduleux, le rendant trop lent à utiliser ou totalement indisponible pour les utilisateurs légitimes. Une attaque par déni de service distribué, ou attaque DDoS, est similaire, sauf qu'elle utilise un réseau d'appareils ou de robots connectés à Internet et infectés par des logiciels malveillants, appelés botnet, pour paralyser ou faire planter le système cible. 

Une exploitation de faille zero-day est un type de cyberattaque qui tire parti d'une vulnérabilité zero-day, autrement dit une faille de sécurité inconnue ou encore non corrigée dans un logiciel, un matériel ou un microprogramme informatique. Le terme « zero-day » fait référence au fait que le fournisseur de logiciels ou d'appareils n'a pas eu le temps de corriger la faille, les pirates pouvant d'ores et déjà l'utiliser pour accéder à des systèmes vulnérables.

L’une des vulnérabilités zero-day les plus connues est Log4Shell, une faille dans la très populaire bibliothèque de journalisation Apache Log4j. Au moment de sa découverte en novembre 2021, la vulnérabilité Log4Shell existait sur 10 % des actifs numériques mondiaux, y compris de nombreuses applications Web, services cloud et points de terminaison physiques comme les serveurs.

Comme leur nom l'indique, ces attaques impliquent des cybercriminels qui tentent de deviner ou de dérober le mot de passe ou les informations de connexion du compte d'un utilisateur. De nombreuses attaques de ce type utilisent l’ingénierie sociale pour inciter les victimes à partager involontairement ces données sensibles. Cependant, les pirates peuvent également utiliser des attaques par force brute pour voler des mots de passe, en essayant à plusieurs reprises différentes combinaisons jusqu’à ce que l’une d’elles réussisse.

Lors d’une attaque sur l’Internet des objets (IdO), les pirates exploitent les vulnérabilités des appareils IdO, comme les appareils domestiques intelligents et les systèmes de contrôle industriels, pour prendre le contrôle de l’appareil, voler des données ou utiliser l’appareil dans le cadre d’un botnet à d’autres fins malveillantes.

Lors de ces attaques, les pirates informatiques injectent du code malveillant dans un programme ou téléchargent des logiciels malveillants pour exécuter des commandes à distance, ce qui leur permet de lire ou de modifier une base de données ou de modifier les données d’un site Web.

Il existe plusieurs types d'attaques par injection. Parmi les plus courantes :

• Attaques par injection SQL : lorsque des pirates informatiques exploitent la syntaxe SQL pour usurper l'identité ; exposer, falsifier, détruire ou rendre indisponibles les données existantes ; ou devenir l'administrateur du serveur de base de données.
• Cross-site scripting (XSS) : ces types d’attaques sont similaires aux attaques par injection SQL, sauf qu’au lieu d’extraire des données d’une base de données, elles infectent généralement les utilisateurs qui visitent un site Web.

Ces individus ou groupes perpétuent des cybercrimes, le plus souvent pour des raisons financières. Parmi les délits les plus courants commis par les cybercriminels, on trouve les attaques par ransomware et les escroqueries par phishing (hameçonnage) qui incitent les victimes à effectuer des transferts d'argent ou à divulguer les informations de leur carte de crédit, leurs données d'identification de connexion, leurs droits de propriété intellectuelle ou autre information privée ou sensible. 

Ces individus ou groupes perpétuent des cybercrimes, le plus souvent pour des raisons financières. Parmi les délits les plus courants commis par les cybercriminels, on trouve les attaques par ransomware et les escroqueries par phishing (hameçonnage) qui incitent les victimes à effectuer des transferts d'argent ou à divulguer les informations de leur carte de crédit, leurs données d'identification de connexion, leurs droits de propriété intellectuelle ou autre information privée ou sensible. 

Un hacker est une personne qui possède les compétences techniques nécessaires pour compromettre un réseau ou un système informatique.

Attention, tous les hackers ne sont pas des acteurs de la menace ou des cybercriminels. Par exemple, certains pirates, appelés pirates éthiques, se font passer pour des cybercriminels dans le but d’aider les organisations et les agences gouvernementales à tester la vulnérabilité de leurs systèmes informatiques face aux cybermenaces.

Les États-nations et les gouvernements financent fréquemment des acteurs de la menace dans le but de voler des données sensibles, de recueillir des informations confidentielles ou de perturber l'infrastructure critique d'un autre gouvernement. Parmi ces activités malveillantes, on trouve souvent l'espionnage ou la cyberguerre, qui bénéficient généralement d'un financement important, rendant alors les menaces complexes et difficiles à détecter. 

Les menaces internes ne proviennent pas toujours d’acteurs malveillants. Certains le font par erreur humaine, par exemple en installant involontairement des logiciels malveillants ou en perdant un appareil fourni par l'entreprise qu'un cybercriminel trouve et utilise pour accéder au réseau.

Cela dit, il existe des initiés malveillants. Par exemple, un employé mécontent peut abuser de ses privilèges d’accès pour obtenir un gain monétaire (par exemple, un paiement d’un cybercriminel ou d’un État-nation), ou simplement par dépit ou par vengeance.

Les mots de passe forts (lien externe à ibm.com), les outils de sécurité des e-mails et les logiciels antivirus sont tous des premières lignes de défense essentielles contre les cybermenaces.

Les entreprises s'appuient également sur des pare-feu, des VPN, une authentification multifacteur, une formation de sensibilisation à la sécurité et d'autres solutions avancées de sécurité des terminaux et de sécurité réseau pour se protéger contre les cyberattaques.

Cependant, aucun système de sécurité n’est complet sans des capacités de pointe de détection des menaces et de réponse aux incidents pour identifier les menaces de cybersécurité en temps réel, et aider à isoler et à corriger rapidement les menaces afin de minimiser ou de prévenir les dommages qu’elles peuvent causer.

IBM Security QRadar SIEM applique le machine learning et l'analyse du comportement des utilisateurs (UBA) au trafic réseau aux côtés des journaux traditionnels pour une détection plus intelligente des menaces et une correction plus rapide. Dans une récente étude Forrester, QRadar SIEM a aidé les analystes de sécurité à gagner plus de 14 000 heures sur trois ans en identifiant les faux positifs, à réduire de 90 % le temps passé à enquêter sur les incidents et à réduire de 60 % leur risque de subir une grave violation de la sécurité.* Avec QRadar SIEM, les équipes de sécurité aux ressources limitées disposent de la visibilité et des analyses dont elles ont besoin pour détecter rapidement les menaces et prendre des mesures immédiates et éclairées pour minimiser les effets d'une attaque.

* Le rapport Total Economic Impact d’IBM Security QRadar SIEM est une étude réalisée par Forrester Consulting pour le compte d’IBM en avril 2023. Basée sur la projection des résultats d’une organisation composite modélisée à partir des réponses de 4 clients d’IBM. Les résultats réels variant en fonction des configurations et des conditions du client, les résultats généralement attendus ne peuvent pas être fournis.