Sophistication et diversification des types d’attaques ont été les réponses des hackers aux mesures prises par les entreprises pour endiguer le flot des attaques.
La professionnalisation de la filière cybermalveillante a permis de créer des chaines de valeur où chacun met à contribution ses compétences allant du planning à la monétisation, en passante par l’intrusion et les mouvements latéraux, ce qui a amélioré l’efficacité et la furtivité des compromissions.
La sophistication et la diversification croissantes des cyberattaques posent des défis importants aux équipes chargées de la cybersécurité. Lorsqu’une attaque est détectée, les équipes de sécurité doivent réagir rapidement pour limiter les dégâts et empêcher toute nouvelle infiltration. Toutefois, avec la personnalisation croissante des attaques, il devient de plus en plus difficile de réagir efficacement et en temps voulu.
Le Rapport State of the Phish 2023 de Proofpoint révèle que la sophistication réside également dans la personnalisation. Lorsque les entreprises ont mis en place de nouveaux contrôles de sécurité, les cybercriminels ont réagi en ajoutant des techniques complexes telles que la diffusion d’attaques par téléphone et le contournement du MFA. « Inconnues de la plupart des utilisateurs, ces techniques ont donné aux cyberattaquants un nouvel avantage, affirme le rapport. Et comme les acteurs de la menace ne cessent d’améliorer leurs tactiques, les RSSI et les équipes d’Infosec ont eu du pain sur la planche ».
La plupart des attaques visent les personnes avant les systèmes
De fait, la plupart des attaques visent les personnes avant les systèmes. C’est pourquoi le rapport examine les pratiques de formation à la sécurité et souligne les possibilités de créer et de maintenir une culture de la sécurité à tous les niveaux. Il montre que parmi les organismes ayant subi des tentatives d’hameçonnage par courriel, plus de huit organisations françaises sur 10 (86 %) ont connu au moins une tentative d’attaque réussie l’an dernier, avec pour conséquences des pertes financières directes dans 19 % des cas.Tandis que l’usurpation d’identité, la compromission de messagerie professionnelle (BEC) et les attaques par rançongiciels restent des tactiques populaires chez les acteurs de la menace, l’année 2022 a démontré l’attrait et l’utilisation intensive par les cybercriminels d’autres méthodes d’attaque moins ordinaires exigeant plus de préparation. Celles-ci se caractérisent par une personnalisation accrue et une planification minutieuse pour rassembler les informations qui serviront à endormir la méfiance de la cible.
Telephone Oriented Attack Delivery
Les attaques dites TOAD, pour Telephone Oriented Attack Delivery, sont des techniques de « vishing » (contraction de voice et de phishing) et signifie en français hameçonnage par la voix. L’attaque commence par l’envoi d’un SMS ou d’un courriel frauduleux, en France dans bien des cas, ces messages alertent sur une activité bancaire suspecte, ou sur l’urgence de mettre à jour son compte de santé Améli pour renouveler une Carte vitale (qui en réalité n’expire jamais).Les liens contenus dans ces messages redirigent les utilisateurs vers des fichiers ou des sites web hébergeant des programmes malveillants qui peuvent prendre le contrôle de l’ordinateur, voler des données, voire accéder à leur caméra. La victime est invitée à rentrer des informations personnelles, ou à contacter un faux centre d’appel où l’interlocuteur au téléphone fera en sorte de récupérer tous les identifiants de connexion de l’usager, souvent pour accéder à ses comptes bancaires.
Parmi les organisations françaises touchées par des rançongiciels, l’écrasante majorité (94 %) avait adhéré à une police de cyberassurance dédiée à ce risque. Si la plupart des assureurs à travers le monde (82 %) se sont dits prêts à payer la rançon partiellement ou en totalité dans le cas d’une attaque avérée, c’est d’autant plus le cas sur le marché français (93 %) ; en revanche, les organisations françaises se montrent moins enclines à s’acquitter de cette rançon (53 % versus 64 % à l’échelle mondiale), une tendance à contrecourant vis-à-vis du reste du monde où la propension à payer a augmenté de six points depuis 2021. En conclusion, et comparés aux autres pays inclus dans cette étude, les résultats spécifiques à la France indiquent une certaine maturité des organisations hexagonales quant à leur cyberrésilience.