Vecteurs d’attaque, modes d’actions, acteurs, tactiques et cibles… Le paysage des cybermenaces, en constante évolution, oblige les organisations à s’adapter. Pour aider les équipes de cybersécurité à anticiper au mieux ces évolutions à déployer les ressources adaptées, la 17ème édition du Data Breach Investigation Report (DBIR) révèle les grandes tendances 2024 en matière d’incidents et de compromissions de données. Des attaquants toujours plus ingénieux, principalement à la recherche de gains financiers, et qui savent mieux que jamais exploiter les failles humaines.
Un nombre croissant d’incidents et de compromissions
Plus de 30 000 incidents de cybersécurité dont 10 000 compromissions de données. Issus de données partagées par plus de 80 contributeurs privés (acteurs de la gestion du risque cyber, de la cyber threat intelligence…) et publics (Internet Crime Complaint Center du FBI, City of London Police, CERT UE, Agences de cybersécurité de Singapour, etc), ce dataset permet de proposer cette année une analyse sur non moins de 94 pays. Une augmentation considérable au regard des chiffres de 2023 : plus proche de 16000 incidents et 6000 compromissions. « Cette évolution traduit à la fois une nette hausse des incidents et compromissions, mais aussi l’augmentation du volume de données qui nous sont transmises. » précise Marc Chousterman, principal cybersecurity architect chez Verizon France. Après Log4j et les attaques contre la supply chain, ce sont les attaques contre les serveurs web, notamment l’application de transfert de fichiers MoveIT et la série de compromissions de données qui a suivie qui ont fait grimper les chiffres cette année. « Cet événement a largement imprimé sa marque sur les conclusions du DBIR. » confirme Marc Chousterman.
Un paysage des menaces en évolution
L’analyse de ces données reflètent les grandes évolution du paysage des menaces, mais aussi ses constantes. Comme la permanence de l’élément humain, impliqué comme l’année précédente dans près de 70% des compromissions, qu’il s’agisse d’erreurs involontaires ou provoquées par des manipulations malveillantes commele pretexting. « Avec comme principal objectif le business email compromise (BEC), il a aujourd’hui le vent en poupe. Il représente aujourd’hui près d’un quart des attaques aux motivations financières pour des sommes médianes de 50 000 dollars, selon les chiffres de l’Internet Crime Complaint Center (IC3) du FBI. » précise Marc Chousterman.A l’heure où l’on s’inquiète – à raison – de l’automatisation des attaques, ce chiffre rappelle que l’humain joue toujours un rôle de premier plan dans la (cyber)sécurité des organisations. Si cet indicateur est stable, la part des compromissions utilisant l’exploitation de vulnérabilités comme premier vecteur d’accès a en revanche triplé depuis l’année dernière pour atteindre 14%. Un scénario que l’épisode Log4j permettait déjà d’esquisser et qui semble désormais se matérialiser, dans le sillage de MoveIt et de l’exploitation de vulnérablités 0-Day par les acteurs du ransomware et de l’extorsion. Deux modes opératoires qui restent sans surprise derrière 62% des incidents motivés par le gain financier, pour une perte médiane de 46 000 dollars par compromission, révèle l’IC3 du FBI. « Des coûts qui ne sont pas forcément très élevés pour rester « acceptable » pour les victimes. » analyse Marc Chousterman. Un constat qui fait écho à celui de l’ANSSI notamment, qui rappelait sur 2023 une augmentation de 30% du nombre d’attaques par rançongiciel portées à sa connaissance. Autre tendance qui se confirme : 15% des violations analysées impliquaient un tiers (supply chain logicielle, infrastructures d’hébergements…). Compromissions qui pourraient être évitées ou dont l’impact pourrait être réduit par un choix de prestataire plus rigoureux. C’est tout l’objet des législations européennes à venir, notamment le Cyber Resilience Act, qui entend renforcer l’ensemble de la chaîne de valeur avec l’objectif aussi de voir s’infléchir cette tendance.
Des analyses actionnables
Derrière ces analyses, l’éclairage qu’elles portent sur les vecteurs d’attaque et de compromission, leurs acteurs et leurs modes opératoires, permettent aux organisations de mieux anticiper les menaces susceptibles de les impacter. Au service des RSSI et responsables de cybersécurité, elles permettent de conforter ou réorienter les dispositifs et ressources déployées pour faire face à ces menaces, de mieux cibler les investissements et de dégager les budgets nécessaires. « Depuis quelques années nous mettons aussi en regard de ces analyses la classification MITRE ATT&CK et les CIS controls que beaucoup d’entreprises utilisent aujourd’hui, pour suggérer les types de contre-mesures à mettre en place par type de menace identifiée dans le DBIR et par secteur d’activité. L’objectif est de rendre ces analyses les plus actionnables possible pour l’entreprise. » précise Marc Chousterman. Un argument de poids aussi pour porter les enjeux de cybersécurité jusque dans les organes de décision.
Pour en savoir plus, vous pouvez retrouver l’intégralité des analyses de Verizon dans le DBIR 2024 ICI.
Photo : Marc Chousterman, Principal Cybersecurity Architect chez Verizon France