Comment des cyberattaques réussissent et permettent à un pirate d’atteindre ses objectifs ? Une étude s’est focalisée sur ce sujet et en particulier la détection. La plupart des cyberattaques n’atteignent pas leurs objectifs. Différentes raisons sont avancées et il s’agit généralement d’une combinaison de personnes, de processus et de technologies qui a permis de détecter et d’arrêter une intrusion plus tôt
dans la chaîne d’attaque.

L’intérêt de la dernière édition de « l’Arctic Wolf Labs Threat Report » est de se concentrer sur les cyberattaques qui réussissent. Il s’agit de mettre en évidence les types d’attaques qui sont les plus responsables d’incidents graves. Dans ce rapport, le BEC (Business Email Compromise) occupe une place de choix. Ce rapport commence par préciser l’état de la menace. Les demandes de rançon augmentent de 20 % d’une année sur l’autre pour atteindre 600 000 dollars.

Cette étude constate que les organisations manufacturières sont plus représentées sur les sites de fuites que toute autre industrie. Des signes inquiétants indiquent que l’année 2024 sera particulièrement volatile, car les groupes de ransomware élargissent leur liste de cibles et explorent de nouveaux moyens de pression. La combinaison des chiffres du FBI et d’Arctic Wolf suggère qu’un incident de ransomware a 15 fois plus de chances qu’un incident de BEC de provoquer une attaque.

Email ciblé

Néanmoins, les incidents BEC ont représenté 29,7 % du total des incidents examinés par Arctic Wolf au cours de cette période, ce qui montre à quel point ils restent une menace quotidienne pour les organisations d’aujourd’hui. La plupart des incidents BEC - qu’ils impliquent la compromission de comptes ou qu’ils se limitent à l’usurpation ou au masquage — peuvent être attribués à l’hameçonnage.

Mais seule une partie des escroqueries BEC impliquent une compromission réelle du compte (également connue sous le nom de « prise de contrôle du compte » ou ATO - Account takeover). Par ailleurs, seul un sous-ensemble de ces escroqueries aura été précédé par des logiciels malveillants, du phishing ou d’autres activités malveillantes avec des indicateurs de compromission (IOC) associés.

En revanche, l’attaque BEC la plus simple, et sans doute la plus courante, se résume à l’envoi par un pirate d’un courrier électronique à une cible pour lui demander d’envoyer de l’argent, des données ou des produits, en utilisant probablement un prétexte spécialement conçu pour l’organisation ciblée. Pour ces raisons, les escroqueries BEC sont très difficiles à détecter. En fait, le rapport d’IBM sur le coût d’une violation de données en 2023 montre que le temps moyen pour identifier et contenir (le cas échéant) un incident BEC est de 266 jours, soit près de neuf mois.

Côté positif, dans 71 % des cas d’incidents reposant sur des ransomwares, l’organisation victime a été en mesure d’exploiter sauvegardes pour restaurer leur environnement.