Cyberattaques

Aujourd’hui, ces acteurs de la menace vont des pirates isolés aux cybercriminels organisés en passant par les groupes mandatés par des États et engagés dans une cyberguerre à long terme. Leurs tactiques couvrent un arsenal en constante expansion, y compris les attaques de logiciel malveillant, les escroqueries d’ingénierie sociale, les failles d’exploitation zero-day et les vers auto-réplicateurs . 

Les attaquants exploiteront toutes sortes de vulnérabilités, des applications web non corrigées aux services cloud mal configurés, pour compromettre un système cible et perturber son fonctionnement. Pour atténuer ces menaces, les entreprises ont besoin de défenses à plusieurs niveaux afin de prévenir, de détecter et de répondre aux cyberattaques avant qu’elles ne fassent des ravages.   

Les cyberattaques ne se produisent pas dans le vide. Elles frappent là où la technologie, les personnes et les motivations se croisent. Les conséquences vont bien au-delà d’une panne temporaire ou d’un fichier volé. Le rapport d’IBM sur le coût d’une violation de données estime la violation moyenne mondiale à 4,44 millions de dollars, un chiffre qui couvre la détection, la réponse aux incidents, les temps d’arrêt, la perte de revenus et les dommages durables à la marque.¹

Certains incidents sont beaucoup plus coûteux : en mars 2024, une victime a payé 75 millions de dollars pour une seule attaque de ransomware, tandis que les escroqueries de type BEC (business e-mail compromise) ont drainé 2,77 milliards de dollars de l’Entreprise rien qu’en 2024, sur 21 442 incidents signalés. ² Les analystes prévoient que le coût annuel mondial de la cybercriminalité passera d’environ 9,2 billions de dollars en 2024 à environ 13,8 milliards de dollars d’ici 2028.

Pour bien comprendre l’importance des cyberattaques, il est important de les examiner à trois niveaux :

• Qui lance une attaque 
• La cible des attaquants
• Pourquoi les attaquants frappent

Les cyberattaques proviennent d’un large éventail d’acteurs malveillants, externes et internes.

Les attaquants externes varient considérablement. Les groupes cybercriminels organisés peuvent chercher à gagner par le biais de campagnes d’attaque par ransomware ou en vendant des données volées sur le dark web. Certains sont des pirates professionnels spécialisés dans l’accès aux systèmes compromis.  

Au niveau des États-nations, des acteurs parrainés par des États mènent des campagnes de cyberguerre et d’espionnage à long terme contre des gouvernements et des entreprises rivaux. Et il y a aussi des hacktivistes, qui s’introduisent dans les systèmes pour attirer l’attention sur une cause politique ou sociale plutôt que pour un gain financier direct.

Les menaces internes présentent un risque différent, mais tout aussi grave. Les employés mécontents peuvent exfiltrer délibérément des données sensibles ou saboter des systèmes pour se venger. D’autres sont tout simplement imprudents : un utilisateur qui stocke les données client sur un lecteur non sécurisé peut créer par inadvertance la même ouverture que celle qu’un acteur malveillant exploiterait. Ce n’est que lorsqu’un initié abuse intentionnellement d’un accès autorisé qu’il s’agit d’une véritable cyberattaque, mais même la négligence peut fournir un premier pas à un adversaire externe. 

Les attaquants s’introduisent dans les systèmes parce que chaque actif, qu’il s’agisse de propriété intellectuelle ou de données personnelles, a une valeur indéniable. En voici les exemples les plus courants :

• Actifs financiers : comprennent les comptes bancaires, les systèmes de paiement, les portefeuilles en cryptomonnaies, les numéros de carte de crédit et les identifiants de connexion qui permettent le vol direct ou la revente.

• Données et propriété intellectuelle : comprend les données des clients, les conceptions de produits, les recherches exclusives et les données personnelles (PII) pour l’usurpation d’identité ou la revente sur le dark web. 

• Infrastructures critiques et systèmes gouvernement : couvre les réseaux énergétiques, les systèmes de santé et les agences gouvernement, perturbant les systèmes d’information essentiels et les services publics. 

Certaines campagnes visent à paralyser les fonctionnalités plutôt qu’à voler des données. Par exemple, une récente attaque par déni de service distribué (DDoS) a submergé sa cible avec un trafic de 11,5 térabits par seconde (Tbps) pendant environ 35 secondes.. Comme l’a déclaré un chercheur, « cela équivaut à inonder votre réseau avec plus de 9 350 films HD complets… en seulement 45 secondes ».

La question la plus difficile à répondre est sans doute celle de savoir pourquoi les attaquants frappent. Les motivations peuvent aller du profit à la politique en passant par les griefs personnels, et toute violation peut impliquer plus d’une de ces forces. Pourtant, la plupart des activités se concentrent autour de trois grands moteurs : criminel, politique ou personnel. 

• Criminel : la motivation criminelle reste la plus courante. Certains acteurs recherchent de simples gains financiers en s’introduisant dans des systèmes pour lancer des attaques par rançongiciel ou lancer des campagnes de phishing à grande échelle. D’autres se concentrent sur l’extorsion, en utilisant des attaques DDoS pour prendre en otage les réseaux jusqu’à ce qu’une rançon soit payée. 
  
  
• Politique : la politique alimente également une part importante de la cyberactivité. Les campagnes parrainées par l’État et les opérations de cyber-espionnage à long terme sondent régulièrement les infrastructures critiques, les réseaux du gouvernement et même les systèmes électoraux. À ces efforts des États-nations s’ajoutent les hacktivistes, c’est-à-dire des individus ou des groupes amateurs qui s’infiltrent dans les réseaux pour mettre en lumière une cause ou embarrasser un adversaire. 
  
  
• Personnel : les motivations personnelles, bien que plus difficiles à prévoir, peuvent être tout aussi destructrices. Un entrepreneur ou un partenaire commercial mécontent peut délibérément publier des données sensibles ou saboter des systèmes pour régler un compte. Et parfois, la motivation n’est rien de plus que de la curiosité ou de l’autonomie : les « pirates sportifs » s’introduisent simplement dans le but de prouver qu’ils le peuvent.

Les cybercriminels utilisent de nombreux outils et techniques sophistiqués pour compromettre les systèmes. Les tactiques évoluent constamment, mais peuvent être classées en trois grands niveaux : les cybermenaces omniprésentes, avancées et émergentes.

Ces techniques sont les chevaux de bataille de la cybercriminalité. Elles s’étendent à tous les secteurs, exploitent les faiblesses humaines et nécessitent rarement les ressources d’un État-nation. Parce qu’elles sont si courantes et si efficaces, elles constituent l’épine dorsale de la plupart des incidents de cybersécurité.

Le logiciel malveillant peut rendre les systèmes infectés inopérables. Il est capable de détruire des données, voler des informations ou même effacer des fichiers essentiels à l’exécution du système d’exploitation. Les types de logiciels malveillants les plus courants sont les suivants :

• Chevaux de Troie : les attaques se font passer pour des programmes légitimes afin d’inciter les utilisateurs à s’installer. Un cheval de Troie d’accès à distance (RAT) ouvre une porte dérobée secrète sur l’appareil de la victime, tandis qu’un cheval de Troie injecteur installe des logiciels malveillants supplémentaires après s’y être implanté.

• Ransomware : utilise un chiffrement renforcé pour prendre en otage des données ou des systèmes jusqu’à ce qu’une rançon soit payée.

• Scareware : bombarde les victimes de faux avertissements destinés à les inciter à télécharger ou à communiquer des informations sensibles.

• Logiciel espion : il collecte secrètement les noms d’utilisateur, les mots de passe et les numéros de carte bancaire, et les renvoie à l’attaquant.

• Rootkits : permet à l’administrateur de contrôler un système d’exploitation tout en restant masqué.

• Vers auto-réplicatifs : se propagent automatiquement entre les applications et les appareils.

Les attaques d’ingénierie sociale exploitent la confiance humaine plutôt que les failles techniques, pour persuader les gens de révéler des informations ou même d’installer des logiciels malveillants. L’exemple le plus courant est le phishing, où des e-mails, des SMS ou des messages sur les réseaux sociaux imitent des demandes légitimes et incitent les victimes à cliquer sur des liens malveillants ou à ouvrir des pièces jointes infectées.

Parmi les variantes plus ciblées, citons le phishing ciblé, qui adapte l’attaque à une personne spécifique en utilisant les informations de profils sociaux publics. Le whaling est une version destinée aux cadres supérieurs, tandis que les escroqueries par BEC se font passer pour des personnes de confiance comme un PDG, incitant les employés à transférer des fonds ou à partager des données confidentielles.

Les attaques par déni de service (DoS) et par déni de service distribué (DDoS) inondent les ressources d’un système avec du trafic frauduleux jusqu’à ce qu’il ne puisse pas répondre aux requêtes légitimes. Une attaque DoS provient d’une source unique, tandis qu’une attaque DDoS utilise plusieurs sources, souvent un botnet d’ordinateurs portables, de smartphones et d’appareils de l’Internet des objets (IdO) infectés par des logiciels malveillants. 

Dans le cadre d’une attaque par compromission de compte, les criminels détournent les identifiants d’un utilisateur légitime pour mener des activités malveillantes. Ils peuvent faire du phishing pour obtenir des mots de passe, acheter des bases de données volées sur le dark web ou lancer des attaques automatisées par force brute pour deviner les mots de passe de manière répétitive jusqu’à ce que l’un d’entre eux fonctionne.

Également appelées attaques par écoute clandestine, les attaques MITM se produisent lorsqu’un pirate informatique intercepte secrètement les communications entre deux parties, souvent via un réseau Wi-Fi public non sécurisé. Les attaquants peuvent lire ou modifier les messages avant qu’ils n’atteignent le destinataire. Par exemple, dans une variante de détournement de session, l’intrus échange son adresse IP avec celle de la victime, faisant croire au serveur qu’il accorde un accès complet aux ressources protégées.

Les adversaires plus patients mènent leurs campagnes en faisant preuve d’habileté, de discrétion et de persévérance. Ces tactiques combinent souvent de multiples vecteurs d’attaque, des opérateurs humains clandestins aux armées de bots automatisés, et peuvent se déployer sur plusieurs mois, ce qui rend la détection précoce essentielle.

Les attaquants s’introduisent dans une entreprise en ciblant ses vendeurs de logiciels, ses fournisseurs de matériel ou d’autres prestataires de services. Étant donné que les fournisseurs sont fréquemment connectés aux réseaux de leurs clients, une seule compromission peut fournir à un attaquant un chemin indirect vers de nombreuses entreprises.

Les attaques XSS insèrent du code malveillant dans une page web ou une application web légitime. Lorsqu’un utilisateur visite le site ou l’application, le code s’exécute automatiquement dans le navigateur de l’utilisateur, volant des informations sensibles ou redirigeant le visiteur vers un site web malveillant. Les attaquants utilisent fréquemment JavaScript pour lancer ces exploitations.

Les attaques par injection SQL envoient des commandes SQL (Structured Query Language) malveillantes à la base de données principale d’un site web ou d’une application. Les attaquants effectuent l’entrée des commandes par le biais de champs orientés utilisateur tels que les barres de recherche et les fenêtres de connexion, ce qui incite la base de données à renvoyer des données privées telles que des numéros de carte de crédit ou d’autres données client.

Le tunnelage du système de noms de domaine (DNS) dissimule le trafic malveillant à l’intérieur des paquets DNS, lui permettant de contourner les mesures de sécurité traditionnelles telles que les pare-feux et les systèmes de détection d’intrusion (IDS). Les acteurs de la menace utilisent cette technique pour créer des canaux de communication clandestins qui permettent d’extraire silencieusement des données ou de connecter les logiciels malveillants à un serveur de commande et de contrôle (C2) à distance.

Les failles d’exploitation zero-day profitent de vulnérabilités zero-day auparavant inconnues ou non corrigées, connues sous le nom de vulnérabilités zero-day, avant que les développeurs ne puissent publier des correctifs. Ces attaques peuvent rester efficaces pendant des jours, des mois voire des années, ce qui en fait l’une des préférées des groupes de menaces avancés.

Les attaques sans fichier utilisent les vulnérabilités des logiciels légitimes pour injecter du code malveillant directement dans la mémoire d’un ordinateur. Comme ils fonctionnent uniquement en mémoire et ne laissent que peu d’artefacts sur le disque, ils peuvent contourner de nombreuses solutions antivirus, y compris certains outils antivirus de nouvelle génération (NGAV). Les attaquants tirent souvent parti des environnements de script comme PowerShell pour modifier des configurations ou voler des mots de passe.

Également appelée empoisonnement de cache DNS, l’usurpation de DNS modifie les enregistrements DNS pour remplacer l’adresse IP réelle d’un site web par une adresse frauduleuse. Lorsque les victimes tentent de visiter le site légitime, elles sont redirigées sans le savoir vers une copie malveillante capable de voler des données ou de diffuser des logiciels malveillants.

Les acteurs malveillants élargissent la surface d’attaque en manipulant les systèmes intelligents, en exploitant de nouvelles infrastructures et même en sapant le chiffrement futur. Bien que ces cybermenaces continuent d’évoluer, elles requièrent déjà l’attention des centres d’opérations de sécurité (SOC) et des équipes de sécurité au sens large.

L’intelligence artificielle (IA), en particulier l’IA générative, ouvre un nouveau front pour les adversaires. Les pirates peuvent utiliser de grands modèles de langage (LLM) pour concevoir des attaques de phishing hyperréalistes, créer de l’audio et de la vidéo deepfake, et même automatiser la reconnaissance à une échelle sans précédent. Des techniques plus sophistiquées, telles que l’injection de prompt ou les jailbreaks de l’IA, peuvent inciter les systèmes d’IA à révéler des données sensibles en contournant les contrôles de sécurité et les garde-fous intégrés.

Les entreprises continuent de transférer leurs workloads vers les clouds publics et hybrides, élargissant ainsi la surface d’attaque potentielle. Les compartiments de stockage mal configurés, les interfaces de programmation d’application (API) exposées et les plateformes d’orchestration de conteneur vulnérables comme Kubernetes donnent aux attaquants des opportunités pour accéder à des environnements entiers en temps quasi réel. Cibler une seule mauvaise configuration du cloud peut permettre à un acteur de la menace de déplacer latéralement sur plusieurs workloads et d’exfiltrer les données client sans déclencher les défenses de périmètre traditionnelles.

Les attaques visant l’intégrité des données visent à corrompre ou à modifier subtilement les jeux de données, qu’ils soient en transit, en stockage ou en cours de traitement, afin que les systèmes en aval prennent des décisions erronées. Il peut s’agir de manipuler des flux de données en temps réel ou de modifier discrètement des dossiers financiers ou de santé. Une tactique particulièrement grave est l’empoisonnement des données, dans lequel les attaquants modifient les ensembles d’entraînement de machine learning avec des enregistrements malveillants, ce qui oblige les modèles à développer des portes dérobées ou des résultats biaisés. 

Les progrès de l’informatique quantique menacent la cryptographie à clé publique d’aujourd’hui. Les attaquants mettent déjà en œuvre des stratégies « récolter maintenant, déchiffrer plus tard », en volant des données chiffrées aujourd’hui dans l’espoir que les futures capacités quantiques leur permettront de briser les algorithmes de chiffrement actuels et de déverrouiller des informations sensibles. Pour se préparer à ce changement, les entreprises doivent suivre les développements en cryptographie post-quantique (PQC) et commencer à planifier des voies de migration pour les systèmes critiques.

La protection contre les cyberattaques nécessite plus qu’un seul produit ou une seule police d’assurance. Une cybersécurité efficace allie les personnes, la technologie et les processus pour anticiper les menaces, limiter l’exposition et fournir une détection et une réponse complètes aux menaces. 

Une prévention efficace commence par la compréhension des actifs les plus précieux de l’entreprise et de la surface d’attaque qui les entoure, réduisant ainsi les possibilités d’accès non autorisé. Les mesures de protection les plus courantes sont les suivantes :

• Gestion des identités et des accès (IAM) : applique l’accès par moindre privilège, l’authentification multifacteur et des politiques de mot de passe fort pour garantir que seules les bonnes personnes puissent accéder aux systèmes critiques. De nombreuses entreprises exigent également que les utilisateurs distants se connectent via un réseau privé virtuel (VPN) ou un autre canal sécurisé.

• Sécurité des données et prévention des pertes de données (DLP) : chiffre les données sensibles, surveille leur utilisation et leur stockage, et effectue des sauvegardes régulières pour limiter l’impact d’une violation.

• Contrôles réseau : déploie des pare-feux et des systèmes de prévention contre les intrusions (IPS) pour bloquer le trafic malveillant entrant ou sortant du réseau. Cela inclut les tentatives de logiciel malveillant de contacter un serveur C2.

• Gestion continue des vulnérabilités : la mise en œuvre régulière de correctifs et de tests de détection peut aider à combler les faiblesses avant que les attaquants ne les exploitent.

• Gestion de surface d’attaque (ASM) : identifie, catalogue et corrige les actifs exposés dans les environnements sur site, cloud et IdO avant que les adversaires ne les découvrent.

• Gestion unifiée des terminaux (UEM) : applique des politiques de sécurité cohérentes à tous les points de terminaison, y compris les ordinateurs de bureau, les ordinateurs portables, les appareils mobiles et les workload cloud.

• Formation de sensibilisation à la sécurité : donne aux employés la capacité de reconnaître les e-mails de phishing, les tactiques d’ingénierie sociale et d’autres points d’entrée courants.

Parce qu’aucune défense n’est parfaite, les entreprises ont besoin d’une visibilité en temps réel sur leurs réseaux informatiques et leurs systèmes d’information :

• Information et gestion des événements de sécurité (SIEM) : regroupe et analyse les alertes provenant des systèmes de détection des intrusions, des outils de détection et de réponse des terminaux (EDR) et d’autres technologies de surveillance.

• Renseignements sur les menaces : enrichit les alertes avec des données sur les acteurs de la menace connus, les tactiques et les indicateurs de compromission (IOC) pour accélérer le triage.

• Analytique avancée et IA : les plateformes de détection modernes utilisent de plus en plus le machine learning pour signaler les anomalies et identifier les schémas subtils pouvant indiquer un incident cybernétique en cours.

• Traque proactive des menaces : des analystes qualifiés recherchent des intrusions cachées, telles que les menaces persistantes avancées (APT), que les outils automatisés pourraient manquer.

Lorsque la prévention et la détection révèlent une attaque, une réponse coordonnée limite les dommages et accélère la récupération :

• Planification de réponse aux incidents : un plan documenté et testé permet aux équipes de contenir et d’éradiquer les menaces de cybersécurité, de rétablir les opérations et d’effectuer une analyse des causes racines pour éviter qu’elles ne se reproduisent.

• Orchestration, automatisation et réponse en matière de sécurité (SOAR) : intègre des outils disparates et automatise les tâches de routine afin que les équipes de sécurité puissent se concentrer sur des enquêtes complexes.

• Détection et réponse étendues (XDR) : corrèle les signaux entre les points de terminaison, les réseaux, les e-mails, les applications et les workloads cloud afin de fournir une vue unifiée et une résolution plus rapide.

• Avis post-incident : il s’agit de tirer les leçons de l’expérience, d’actualiser les contrôles et d’intégrer les nouveaux renseignements dans les mesures de prévention et de détection.