Article

Rapport IBM X-Force — Paysage des cybermenaces en 2022

Date de la publication
cyber sécurité

Webinaire R2i-IBM dressant un portrait du paysage des cybermenaces en 2022 – présenté par Michelle Alvarez, gestionnaire d’IBM X-Force.

IBM a publié récemment son rapport X-Force, qui résume les tendances en matière de cybersécurité dans le but de sensibiliser les professionnels de la cybersécurité aux menaces les plus sérieuses.

Dans ce webinaire de 45 minutes, Michelle Alvarez, gestionnaire de l’équipe de production des renseignements sur les menaces au sein d’IBM Security X-Force, passe en revue le rapport en compagnie de R2i. Écoutez-la présenter les principales constatations du rapport et donner des précisions sur les nouvelles menaces, y compris celles utilisées pendant la guerre en Ukraine. Pour un résumé du webinaire, lisez ce qui suit.

Visionnez le webinaire

Parcourir le paysage des cybermenaces

Le rapport Threat Intelligence Index est publié chaque année depuis plus de dix ans par IBM X Force. Il constitue une façon, pour IBM, de partager de l’information sur le paysage des menaces avec des organisations publiques et privées, ainsi qu’avec le secteur du renseignement en général.

Chaque rapport s’appuie sur l’analyse de milliards de points de données pour déterminer qui sont les principaux acteurs de menaces, comment ils infiltrent les réseaux, ce qu’ils font une fois qu’ils y sont, et quelles sont les meilleures pratiques pour atténuer les risques.

Les cybermenaces en lien avec la Russie et la guerre en Ukraine

IBM publiait son rapport Threat Intelligence Index de 2022 le 23 février. Le lendemain, la Russie envahissait l’Ukraine. Dans l’industrie de la cybersécurité, plusieurs s’interrogeaient sur l’impact de l’invasion russe sur le paysage des cybermenaces.

Michelle a fourni quelques pistes pendant le webinaire, et IBM a conçu un dossier virtuel approfondi contenant de l’information fournie par des spécialistes sur les groupes financés par l’État russe. Pour accéder à ce dossier gratuit, qui décrit en détail l’information dont dispose IBM et ce à quoi les organisations doivent s’attendre, contactez votre représentant R2i.

La guerre en Ukraine a activé les groupes pro-russes comme les groupes pro-ukrainiens. La plupart des attaques se déroulent en Ukraine, dont de nombreuses attaques par logiciels effaceurs contre des entités ukrainiennes.

IBM surveille la situation pour voir si des groupes dirigés par la Russie ou sympathiques à la cause russe pourraient attaquer ailleurs qu’en Ukraine. Cependant, même les attaques perpétrées en Ukraine, surtout celles qui visent des services publics, pourraient avoir des répercussions sur d’autres pays, y compris le Canada.

Dans certains cas, les auteurs de menaces ciblent des organisations pour des raisons idéologiques. C’est le cas du groupe hacktiviste Anonymous, qui a fait part de son intention de cibler des entités qui font des affaires en Russie. D’autres profitent du fait que le conflit sert de distraction.

IBM recommande à chaque organisation d’évaluer son profil de menace. Si votre secteur a été par le passé la cible d’activité russe – pensons aux secteurs de l’énergie, des soins de santé ou de la finance – il serait sage de réexaminer votre position défensive.

Les attaques par rançongiciel en première place pour une troisième année de suite

En 2021, pour une troisième année de suite, les attaques par rançongiciel étaient le type d’attaques le plus répandu. Elles représentaient 21 % des attaques en 2021, une légère baisse par rapport à 23 % en 2020, baisse qui s’explique peut-être par un accroissement des mesures d’application de la loi.

Pourquoi ce type d’attaque est-il si populaire? Peut-être parce que les attaquants peuvent commettre une double extorsion, comme IBM X-Force a pu le constater dans de nombreux cas d’attaques par rançongiciel dont elle s’est occupée depuis 2019. Dans ces attaques par double extorsion, les attaquants ne se contentent pas de crypter vos données, ils les exportent et menacent de provoquer une fuite, ce qui augmente la pression et incite les victimes à payer la rançon.

Les attaques par accès au serveur arrivaient au deuxième rang des attaques les plus répandues, représentant 14 % des cas. Certaines d’entre elles étaient en réalité des attaques par rançongiciel ayant échoué.

Au troisième rang des attaques les plus répandues, on trouvait les attaques par compromission de messagerie (8 % des attaques), surtout présentes en Amérique latine. Après avoir diminué en fréquence en 2020, elles ont connu une hausse en 2021. Ces attaques ciblent presque exclusivement des organisations qui n’ont pas mis en place l’authentification multi-facteur.

Hameçonnage et exploitation des vulnérabilités : principaux vecteurs d’infection

En 2021, l’hameçonnage constituait le vecteur d’infection dans 41 % des attaques, tandis que l’exploitation des vulnérabilités comptait pour 34 %.

Les tentatives d’hameçonnage qui utilisaient les appels téléphoniques ou les messageries vocales se sont révélées trois fois plus efficaces. Cette stratégie utilise les principes de base du marketing : plus vous avez de points de contact avec le client, plus il est susceptible d’acheter. L’augmentation de l’utilisation du téléphone pour les tentatives d’hameçonnage signifie qu’il est de plus en plus important de s’occuper de l’aspect humain de la cybersécurité et d’éduquer les utilisateurs finaux.

L’exploitation des vulnérabilités a connu une augmentation de 33 % en une année. En 2021, IBM a constaté une exploitation importante d’une vulnérabilité dans Apache Log4A, qui arrivait au deuxième rang des vulnérabilités les plus exploitées cette année-là même si elle a été découverte seulement en décembre. Les deux vulnérabilités les plus exploitées étaient liées à Microsoft Exchange.

Chaque année, on trouve parmi les dix vulnérabilités les plus exploitées des vulnérabilités récentes et d’autres plus anciennes, certaines existant depuis dix ans. On voit là l’importance de prendre des mesures face aux vulnérabilités : tant qu’elles existent, les attaquants continuent de les utiliser.

Les chaînes d’approvisionnement attaquées

En 2021, pour la première fois depuis dix ans, ce n’est pas le secteur des finances et de l’assurance qui a été le plus attaqué, mais bien le secteur de la fabrication.

Les acteurs de menaces ont remarqué l’équilibre fragile des chaînes d’approvisionnement. Ils préfèrent cibler des organisations qui veulent à tout prix éviter les temps d’arrêt et sont donc plus susceptibles de payer une rançon pour permettre la reprise de leurs activités. Les entreprises de fabrication sont donc souvent ciblées.

Le secteur du commerce de gros a aussi été victime d’un plus grand nombre d’attaques, probablement en raison de son rôle dans les chaînes d’approvisionnement. Par le passé, le secteur de la vente au détail subissait plus d’attaques que celui du commerce de gros, mais la tendance s’est inversée en 2021.

Avec le maintien des pressions exercées sur les chaînes d’approvisionnement, les experts d’IBM prévoient que les acteurs de menaces continueront de cibler le secteur de la fabrication et les autres secteurs liés à l’approvisionnement.

Les services financiers et d’assurance arrivent maintenant en deuxième position, en partie grâce aux efforts importants déployés par ce secteur au cours des dernières années en matière de cyberdéfense et de cyber résilience.

Sécurité : Quelle est la meilleure défense?

Michelle a partagé sept recommandations pour réagir à ces tendances :

  1. Élaborer un plan d’action en cas d’attaque par rançongiciel. Créez des copies de sauvegarde inaltérables pour pouvoir récupérer vos données critiques, et faites des exercices de simulation pour que votre équipe soit prête à agir. R2i vous offre aussi des outils et des services de consultation pour vous aider à évaluer et à renforcer votre cyber résilience.
  2. Mettre en place l’authentification multi-facteur. L’authentification multi-facteur peut freiner les attaques par compromission de messagerie puisqu’elle exige des auteurs de menaces qu’ils déploient plus d’effort pour infiltrer un système. Ne laissez pas votre organisation être une cible facile.
  3. Construire une défense à plusieurs couches contre l’hameçonnage. Les attaquants savent que le fait de combiner les appels téléphoniques aux courriels multiplie par trois l’efficacité des attaques. Pour s’en prémunir, les organisations doivent prévoir plusieurs moyens de défense, y compris l’éducation des utilisateurs finaux.
  4. Renforcer et entretenir votre système de gestion des vulnérabilités. L’exploitation des vulnérabilités demeure un vecteur d’infection majeur. Occupez-vous rapidement des vulnérabilités de vos systèmes.
  5. Adopter des principes de sécurité à vérification systématique (zero-trust). Les principes de sécurité à vérification systématique peuvent réduire les risques d’attaques majeures.
  6. Utiliser l’automatisation de la sécurité pour accélérer votre réponse en cas d’incident. Un incident de courte durée signifie des coûts généraux moins élevés. Plus votre réponse est rapide, plus vous êtes susceptible de réduire vos coûts.
  7. Utiliser la détection et la réponse étendues. Une solution de détection et de réponse étendues peut vous donner un avantage face aux attaquants et réduire vos coûts.

ÉVALUER OÙ EN EST VOTRE ORGANISATION EN MATIÈRE DE CYBER RÉSILIENCE.

Communiquez avec l'un de nos experts afin de fixer une date pour un atelier d’évaluation de votre cyber résilience. À titre de partenaire platine d’IBM au Québec, R2i offre des services d’experts en matière de centres de données, d’infrastructure infonuagique, de services gérés et de transformation numérique. Nos experts sont accessibles et se feront un plaisir de vous aider à vous assurer que vos solutions d’infonuagique sont les plus sûres possibles.
Contactez-nous
Partagez sur vos réseaux