Les caractéristiques des compromissions détectées en 2022
98 % des professionnels de la sécurité et des identités confirment l’augmentation dans leur entreprise du nombre d’identités attribuées à des Hommes et machines, sous l’effet de l’adoption d’applications cloud (52 %), de l’intensification des relations avec des tiers (46 %) et de l’explosion des identités de bots, d’objets IoT connectés et d’autres machines (43 %). Il en ressort un lien direct entre le nombre de technologies nécessaires au fonctionnement d’une entreprise et le nombre d’identités (de comptes) de chaque utilisateur. Chaque utilisateur doit avoir accès à plusieurs comptes, systèmes, etc., or chaque point d’accès est un potentiel vecteur d’attaque d’identité.De plus, dans la plupart des entreprises coexistent plusieurs services cloud IaaS, SaaS ou PaaS, en mode hybride ou non. Ces environnements induisent une prolifération de permissions, droits et identités privilégiées et, même si beaucoup d’entre eux sont éphémères, il faut les gérer et les protéger. Ceci conduit à une organisation complexe de la sécurité, pouvant comporter des failles et des angles morts. Sans oublier que, du fait de la normalisation du mode d’organisation work-from-anywhere, les salariés sont plus nombreux à se connecter à distance aux ressources du réseau et ce, possiblement, depuis des points d’accès à la sécurité faillible. Les entreprises confirment aussi une forte augmentation des demandes de connexion à leur réseau de sous-traitants, ressources de tiers, fournisseurs, partenaires, etc. Autrement dit, l’augmentation des compromissions d’identités va de pair avec la forte extension de la surface d’attaque et la multiplication des failles exploitables.
Les principaux types de compromissions d’identités en 2022
Le phishing (campagnes et attaques de harponnage ciblées) - Ces attaques sont la cause numéro un des compromissions d’identités en 2022 pour 59 % des sondés. Elles séduisent les cybercriminels qui y voient une première porte d’entrée dans un environnement pour collecter des informations dont ils se serviront ensuite pour exploiter une faille quelconque.La mauvaise gestion des privilèges et des identités privilégiées - 36 % des entreprises interrogées ont confirmé avoir été victimes d’une compromission du fait de privilèges mal gérés. Pour 21 % il s’agissait de l’utilisation abusive en interne de privilèges et pour 23 % de la compromission d’identités privilégiées. Or, un cybercriminel qui s’introduit via un compte privilégié peut rapidement obtenir l’accès à des données sensibles et protégées. Il peut aussi opérer une progression latérale, élever son niveau de privilèges et même pirater d’autres comptes.
La mauvaise gestion des mots de passe - 27 % des entreprises interrogées disent avoir été victimes d’une attaque d’ingénierie sociale de mots de passe en 2022 et 23 % d’une attaque par force brute. Les mots de passe sont le maillon faible de la cybersécurité d’une entreprise. Si l’on conjugue mauvaises pratiques de gestion des mots de passe, explosion du nombre de systèmes et applications, et sophistication croissante des techniques de piratage, toutes les conditions sont réunies pour exposer l’infrastructure de cybersécurité. Les conséquences d’une compromission d’identifiants peuvent être désastreuses : progression latérale et propagation des menaces sur le réseau, compromission de plusieurs systèmes, comptes et utilisateurs, attaques de ransomwares et autres malwares, accès non autorisé à des fonds, données sensibles, informations de propriété intellectuelle, données de clients, et compromission de données.
L’attaque de tiers ou de la chaîne d’approvisionnement - Les compromissions via des fournisseurs ou attaques de la chaîne d’approvisionnement s’intensifient depuis cinq ans. Ces attaques visent un sous-traitant ou un fournisseur dont les services ou logiciels conditionnent le bon fonctionnement de la chaîne d’approvisionnement. L’objectif est d’infiltrer l’entreprise pour y compromettre un programme logiciel ou un système matériel. Les chaînes d’approvisionnement de logiciels sont plus vulnérables car les logiciels sont rarement créés de toute pièce ; ils comportent des API de tiers, du code Open Source, des parties de code propriétaire d’éditeurs de logiciels et de nombreuses dépendances, si bien que les points d’entrée sont nombreux avec un nombre de victimes potentielles exponentiel.
L'attaque Man in the Middle (MitM) - 15 % des entreprises interrogées ont déclaré avoir été victimes d’une attaque Man in the Middle (MitM). Dans ce type de cyberattaque, un « homme du milieu » se positionne entre des parties qui communiquent entre elles ou intercepte et relaie des messages entre deux parties qui pensent communiquer l’une avec l’autre. L’agresseur prend alors le contrôle ou il manipule la conversation ou les données échangées. Généralement, une attaque MitM procède d’un malware introduit par un e-mail de phishing de façon à s’infiltrer sur le système visé pour voler ou modifier des informations. Les principaux risques encourus en cas d’attaque MitM sont : la capture et la manipulation d’informations personnelles en temps réel, la compromission d’informations sensibles échangées entre deux terminaux, le fait d’inciter abusivement une ou plusieurs parties en communication à divulguer des informations sensibles, la perte d’intégrité des serveurs, ou encore l’injection ou la modification de contenus.
La compromission d’identité peut avoir des conséquences désastreuses. 78 % des entreprises victimes l’an dernier rapportent avoir subi un préjudice direct : des coûts élevés de rétablissement des opérations, dommages, dégradation de réputation. Parmi les plus gros impacts d’une compromission d’identité pour une entreprise en 2022, on relève le coût de rétablissement (44 %), les perturbations du cours de l’activité (42 %), la dégradation de la réputation (35 %), le départ de clients (16 %), la perte de chiffre d’affaires (29 %), la perturbation des opérations par l’indisponibilité ou la dégradation des performances de systèmes IT (28 %) ou par l’impossibilité momentanée de livrer des produits, services ou solutions (21 %), ou encore les attaques malveillantes d’applications ou de systèmes (32 %). Pourtant, 96 % des sondés sont d’accord qu’une simple mesure de sécurité, via une stratégie d’authentification multifactorielle (43 %), de gestion opportune des accès privilégiés (41 %) ou de découverte continue des privilèges des utilisateurs (34 %), aurait pu empêcher une compromission ou en limiter les effets.
Par Thomas Manierre, Directeur EMEA Sud de BeyondTrust