L’Anssi a traité 192 cyberattaques en 2020, une forte augmentation contre seulement 54 en 2019. Déjà depuis début 2021, la France a été touchée par une vague de cyberattaques contre les hôpitaux et établissements de santé, mais aussi contre les collectivités, les entreprises et les particuliers. Armés de nouvelles méthodes de plus en plus sophistiquées, les acteurs malveillants s’adaptent au contexte de la pandémie et du télétravail pour réaliser des attaques. Dans leur arsenal, les pipelines de développement informatique, l'ingénierie sociale et le Ransomware-as-a-service, entre autres. Quelles cybermenaces les équipes informatiques doivent-elles surveiller cet été ?
Les vulnérabilités liées au cloud restent au premier plan
Les erreurs d’administration, de configuration et d’installation des solutions cloud sont l’une des principales causes des vulnérabilités. Souvent, ces erreurs sont liées à un trop grand nombre de points d’administration ou de tableaux de bord, ainsi qu’à des politiques trop nombreuses pour être appliquées et maintenues aussi régulièrement qu'il le faudrait.
Pour les grandes entreprises comme pour les administrations publiques, les exigences en matière d’architecture informatique restent presque entièrement axées sur l'hybride, avec des ressources à la fois sur site et dans le cloud. Ainsi, de nouveaux contrôles visant à sécuriser les workloads sur conteneurs, à verrouiller les configurations cloud et à chiffrer les données dans le cloud sont toujours en cours de déploiement.
De nombreuses entreprises s’appuient sur des piles de sécurité qui s’adaptent difficilement, si tant est qu'elles le puissent, à l’échelle du cloud. Avec de nouveaux points d'administration et de gestion, ainsi qu'une configuration à effectuer depuis des interfaces plus faciles d’accès, les possibilités d'erreur et de fuite de données augmentent.
Le pipeline CI/CD soumis à l’assaut
Le piratage SolarWinds a fait l'objet d'une couverture médiatique et de recherches considérables. L'analyse du CISA a conclu que les acteurs ont ajouté une version malveillante du binaire SolarWinds.Orion.Core.BusinessLayer.dll dans le cycle de vie du logiciel. Cette version a ensuite été signée numériquement par un certificat de signature de code SolarWinds légitime. Le code malveillant a donc pu se faire passer pour du code fiable, ce qui va à l'encontre de l'objectif de la signature de code : rassurer les utilisateurs sur la fiabilité.
Aujourd’hui les cybercriminels visent le cœur des défenses, comme démontré par l'élaboration de cette stratégie visant à violer un pipeline d'intégration continue et de déploiement continu (CI/CD) hautement sécurisé d'un fournisseur de logiciels. En réussissant à pénétrer dans le pipeline CI/CD, les pirates obtiennent un passe qui leur permet de se promener comme ils l’entendent dans le système et sont capables, pratiquement sans entrave, d'exploiter la réputation de confiance d’un éditeur pour distribuer des logiciels malveillants sur l’ensemble de sa base d'utilisateurs.
Les environnements de travail à distance
Même après l’assouplissement du télétravail à partir du 9 juin, les modes de travail ont changé pour toujours, et le travail à distance restera un alternatif viable. Mais c’est également un important vecteur de menace. Les employés se servant de connexions haut débit à domicile à des fins professionnelles, la surface d'attaque des entreprises s'est considérablement accrue.
En effet, les contrôles et procédures de cybersécurité au sein des entreprises ne sont pas adaptés pour assurer une sécurité adéquate à l’extérieur. La pile de sécurité historique sur site ne fonctionnera pas pour le télétravail, sans une refonte importante et l'ajout de nouveaux contrôles pour prendre en charge l'infrastructure distribuée et les déploiements cloud.
L’email reste le principal vecteur d'attaque
Le courrier électronique reste le principal vecteur de menace utilisé pour attaquer les administrations et les entreprises de toutes tailles. 75 à 90 % des logiciels malveillants sont livrés dans des emails. Malgré les formations et les avertissements généralisés contre le spam, les utilisateurs continuent d'ouvrir des courriels suspects, tant dans leurs comptes professionnels que personnels.
Des campagnes utilisant des tactiques d'ingénierie sociale pour propager une variété d'attaques sont largement utilisées. Dans certains cas, ces attaques sont très ciblées sur une personne ou une organisation, une technique connue sous le nom de spear-phishing, mais les campagnes plus larges sont les plus courantes.
L’essor du ransomware en tant que service (RaaS)
Loin de montrer des signes de ralentissement, l'utilisation généralisée des ransomwares se poursuit au premier trimestre 2021, avec des outils de plus en plus sophistiqués. Les plates-formes Ransomware-as-a-service (RaaS) peuvent être facilement déployées par même les acteurs sans compétence technique. À mesure que les acteurs de la menace deviennent plus compétents et capables d'utiliser des ransomwares, ils exécutent des attaques de plus en plus dommageables, souvent contre des entreprises et des acteurs publics.
La COVID-19 reste un thème majeur pour l'ingénierie sociale
La crise sanitaire continue d’offrir de nouvelles opportunités aux acteurs de la menace. Ils réussissent à se faire passer pour des autorités gouvernementales telles que l'Organisation mondiale de la santé (OMS), comme l’incident où une fausse alerte au sujet du Coronavirus de l'OMS a été utilisée pour diffuser le malware bancaire Trickbot. Dans une autre campagne, des acteurs se font passer pour l'UNICEF.
Au cours de l'année 2021, les acteurs de la menace vont à la fois innover, s'adapter et maintenir des méthodes éprouvées. Les acteurs étatiques malveillants et le crime organisé continueront à renforcer leurs capacités offensives. Ainsi, les entreprises désireuses de protéger leurs employés, leurs clients et leur réputation doivent surveiller de près les cybermenaces, nouvelles et actuelles, afin d'apporter des améliorations réfléchies et ciblées à leurs défenses et de réduire leurs risques.
Par Clément Marcelot, Solution Architect chez Infoblox