BTEX 2023 : Sophos partage les principales conclusions de son rapport 2023 sur les menaces, le Threat Report

Selon les données de Sophos, et par rapport à ce que la plupart des gens supposeraient probablement, le temps de passage (le temps entre le moment où un acteur menaçant entre pour la première fois dans un environnement jusqu’à ce qu’il soit détecté ou annoncé) a diminué, a déclaré M. Lam. « Nous avons vu la durée moyenne pour tous les types d’attaques passer de 15 jours à 10 jours, ce qui nous indique que ces attaquants sont de plus en plus rapides. Ils mettent le pied sur l’accélérateur et essaient de faire le plus de dommages possible aussi rapidement que possible. »

La recherche de Sophos montre comment la prévalence des logiciels malveillants diminue à mesure que des techniques plus discrètes font leur apparition, a déclaré M. Lam. « Nous ne constatons pas que les logiciels malveillants sont prévalents dans les attaques. D’autres techniques plus furtives qui ne sont pas aussi bruyantes ou qui ne déclenchent pas autant d’alarmes sont privilégiées. L’utilisation réelle de fichiers malveillants a lentement diminué en faveur des techniques d’injection de ligne de commande et de mémoire. »

La recherche de Sophos démontre que le nombre d’outils de sécurité utilisés par les organisations a augmenté, mais ce n’est pas nécessairement une chose positive. « Le nombre moyen d’outils (de sécurité) dans une organisation a également augmenté, et c’est une réponse directe à la complication et à la sophistication qu’on retrouve derrière ces attaques », indique M. Lam. Ça pourrait représenter un problème. Vous ajoutez de plus en plus d’outils. Il y a de plus en plus de conformité. Il y a de plus en plus d’exigences en matière de vérification, et cela peut être très stressant (pour les professionnels de la sécurité). »

M. Lam a classé les acteurs de menaces en trois groupes principaux : des pirates amateurs, des pirates professionnels et des groupes financés par l’État. Dans les mots de M. Lam : « Les amateurs prennent des éléments qu’ils ont trouvés en ligne et peut-être le font-ils pour s’amuser ou pour faire un canular; il s’agit ici surtout de novices non qualifiés. Les pirates informatiques qui ont de mauvaises intentions possèdent les compétences nécessaires, ils se concentrent sur les cyberattaques et ils sont en mesure de faire des dommages. Ça pourrait même devenir leur principale source de revenus. Selon l’industrie dans laquelle vous travaillez, vous pourriez également envisager des groupes financés par une autre nation ou un autre État. Surtout si l’on tient compte de certains environnements géopolitiques et économiques, ils peuvent également représenter une préoccupation pour les entreprises. »

Cependant, M. Lam a averti l’auditoire que, dans la pratique, les trois groupes sont interconnectés. « Il convient de souligner que ces groupes ne sont pas mutuellement exclusifs. Il n’est pas simplement question d’amateurs. Il n’est pas simplement question de groupes de cybercriminalité et de groupes financés par un gouvernement. L’une des tendances constatées, c’est que ces groupes commencent à déborder de plusieurs façons différentes. Maintenant plus que jamais, il est plus facile pour quelqu’un d’aller sur le Web et d’acheter les outils dont il a besoin, qu’il s’agisse d’obtenir l’accès à des entreprises compromises, à des outils de rançongiciel ou à des boîtes à outils de maliciels. Ils peuvent acheter ce dont ils ont besoin, assembler le tout et lancer une attaque à grande échelle. »

Même les groupes financés par un État dont les motifs sont politiques attaquent parfois les organisations pour obtenir des fonds supplémentaires, a averti M. Lam. « S’ils (les groupes financés par l’État) ne le font pas déjà pendant la journée, ils peuvent probablement rentrer à la maison le soir et attaquer des entreprises basées ailleurs dans le monde, le considérant presque comme une forme d’agitation complémentaire. C’est une autre source de revenus pour eux. »

La recherche de Sophos indique que le nombre d’identifiants compromis a fait un grand bond en 2022, malgré le fait que « Globalement, le nombre de tentatives d’hameçonnage a diminué ». On constate que moins de messages d’hameçonnage sont transmis et que le nombre de campagnes d’hameçonnage a diminué. Cependant, les statistiques concernant les identifiants compromis nous indiquent que ces tentatives d’hameçonnage sont plus fructueuses. Par conséquent, il s’améliorent lorsqu’il est question de tromper ces utilisateurs pour qu’ils donnent les informations liées à leurs comptes. » 

En raison du nombre croissant de menaces sur le marché, les organisations ont tendance à obtenir encore plus d’outils de sécurité, qui sont souvent difficiles à gérer et à configurer efficacement explique M. Lam. « Une idée fausse très répandue suggère ‘J’ai besoin de nouveaux outils. J’ai besoin de nouvelles solutions. J’ai besoin de nouveaux produits, alors allons-y et achetons des choses’, ce qui peut signifier que de plus en plus d’outils sont présentés à l’équipe des TI. Plus de projets; plus de fardeau pour eux. »

« Si les choses deviennent hors de contrôle, les alertes pourraient alors être ignorées », a déclaré M. Lam. « Il pourrait y avoir des centaines d’alertes, qui demanderont des centaines d’heures par semaine pour trier et comprendre ce qui se passe. Il n’est donc pas étonnant que moins de la moitié de ces alertes fassent l’objet d’une enquête, que la plupart d’entre elles soient ignorées et que personne ne sache vraiment ce qu’elles essayaient de transmettre. Cet écart peut être si dangereux. »

M. Lam a également fait valoir que le modèle de responsabilité partagée pourrait ne pas être en mesure de protéger certaines entreprises. « Je suis certain que vous avez entendu parler du modèle de responsabilité partagée où le fournisseur est responsable de son infrastructure, du micrologiciel, du matériel et de la disponibilité. C’est à l’utilisateur final de sécuriser tout ce qu’il y met. Et c’était logique à l’époque (lorsque le modèle a été créé), car il y avait des limites à ce qui pouvait être fait, mais cela a en quelque sorte produit une division implicite. En ce qui concerne les responsabilités, le fournisseur fait ce qu’il peut, le client fait lui aussi ce qu’il peut et c’est pratiquement la fin de l’histoire.

« Nous réalisons aujourd’hui qu’en fin de compte, ça ne fonctionne pas. Les organisations n’ont pas toutes accès à des spécialistes en cybersécurité ou en sécurité infonuagique, elles ne savent pas nécessairement si elles sont configurées correctement dans le nuage et il existe donc d’innombrables fois où vous constaterez, même dans l’infrastructure infonuagique publique, que ces entreprises sont compromises. »

M. Lam a suggéré qu’une approche partagée soit la prochaine étape naturelle pour s’assurer que les entreprises sont protégées. « Le destin partagé est en quelque sorte la prochaine évolution de la responsabilité où notre objectif n’est pas seulement de vous vendre les outils. Nous voulons optimiser ces outils pour nous assurer que vous en tirez parti au maximum et c’est ainsi que nous (chez Sophos) désirons traiter nos outils et notre sécurité à mesure que nous progressons. »