12 Avr 2023
Expert reconnu de la gestion de crise cyber et de la réponse à incident, Vincent Nguyen est actuellement Directeur cybersécurité chez Stoïk. À la demande de notre partenaire Cybassur, il a accepté de répondre à nos questions sur les évolutions de la menace cyber.
• Comment a évolué la menace cyber sur ces dernières années ?
La menace cyber a connu un tournant majeur il y a environ 7 ans, avec l’apparition des ransomwares. En 2017, on commence à observer des cas de propagations automatiques de ransomware comme WannaCry ou NotPetya qui ont fait de gros dégâts. Certains groupes de cybercriminels se sont alors spécialisés dans les attaques contre les grandes entreprises. Attaquer un grand groupe permettait de demander une rançon élevée : on appelait ça le “big game hunting” et ça a très bien marché entre 2017 et 2019. Pour faire face, une nouvelle réglementation a vu le jour dès 2018, la loi de programmation militaire, obligeant les grandes organisations, en particulier les opérateurs d’importance vitale, à élever leur niveau de cybersécurité.
Ensuite, il y a eu l’arrivée du COVID-19. Et là, on a craint une recrudescence des cyberattaques, ce qui n’a finalement pas été le cas. Ce qui a changé pendant la pandémie, ce n’était pas la fréquence des cyberattaques mais leur mode de fonctionnement. Les pirates ont développé de nouveaux modèles de mails de phishing, contextualisés sur les thématiques COVID : un très bon moyen de soudoyer les identifiants et mots de passe des salariés en télétravail… Dans l’urgence, les moyens d’accès à distance se sont multipliés, il y a eu beaucoup de services exposés sur internet et beaucoup de portes d’entrée mal sécurisées. Toutes les entreprises se sont retrouvées vulnérables face à la menace cyber, une aubaine pour les pirates.
En 2020 et 2021, de très grosses vulnérabilités ont été exposées sur des systèmes, notamment sur CITRIX (accès à distance des collaborateurs), ou sur Exchange (relais de messagerie déployé). Ces deux vulnérabilités ont massivement été exploitées par les attaquants pour accéder au système d’information et éxecuter leur ransomware.
Entre 2018 et 2020, les grandes entreprises ont investi pour élever leur niveau de cybersécurité comme le prévoyait la loi de programmation militaire et il est devenu plus difficile et moins rentable pour un cybercriminel d’attaquer une grande structure. Le temps des attaques ciblées sur les grandes entreprises touche alors à sa fin et les pirates se tournent massivement vers les plus vulnérables : les TPE, PME et ETI…
• Quelles nouveautés a-t-on pu constater sur l'année 2022 ?
Début 2022, la guerre en Ukraine a éclaté et tout le monde s’attendait à une explosion des cyberattaques. Cependant, une fois de plus, ça ne s’est pas passé comme ça. Certains groupes cybercriminels et autres groupes étatiques qui étaient en Ukraine et en Russie ont en fait arrêté d’attaquer le reste du monde pour concentrer leurs attaques entre eux.
En 2022, on a pu constater 3 grandes thématiques de failles : le phishing, les vulnérabilités techniques et les partenaires et fournisseurs qui se font compromettre, que l’on appelle attaques par supply chain lorsqu’ils disposent d’un accès partagé. Les grandes entreprises ayant mis en place des mesures de durcissement de leur niveau de cybersécurité, il est devenu plus difficile de les attaquer directement. Aussi, les pirates se sont adaptés et ont commencé à cibler leurs fournisseurs ou prestataires pour accéder aux systèmes d’information des grands groupes et lancer des ransomwares.
Aujourd’hui, les attaquants s’intéressent particulièrement aux fournisseurs et prestataires des grandes entreprises : les PME et ETI sont des cibles privilégiées puisqu’elles ont un accès vers des systèmes d’information de grandes organisations. Les attaques par supply chain existaient déjà depuis 2011 mais elles concernaient alors le vol de données ou l’espionnage industriel. Aujourd’hui, on assiste à un déploiement massif de la technique d’attaque par ransomware dont l’objectif est purement pécunier.
En parallèle, les attaques par phishing ont continué de faire des ravages, de même que les vulnérabilités techniques sur des composants dont les mises à jour n’ont pas été effectuées ont continué à être exploitées par les pirates informatiques.
• À quoi doit-on se préparer pour 2023 ?
C’est très aléatoire et forcément, il est difficile de prédire l’avenir. Pour l’instant, on reste sur nos gardes quant aux évolutions du contexte géopolitique. Il y a quelques tendances qui se dessinent.
Les attaques par supply chain vont continuer, voire s’accentuer dans les années à venir. Il y a donc une urgence pour les TPE, PME et ETI de sécuriser leurs systèmes d’informations afin de conserver la confiance de leurs partenaires.
Des vulnérabilités datant de 2021 citées dans le rapport de l’ANSSI 2022 dont les correctifs n’ont toujours pas été appliqués par les entreprises vont malheureusement continuer d’être exploitées par les attaquants.
Les attaques par phishing vont continuer, cela reste le moyen le plus facile pour un attaquant de mettre un premier pied dans une entreprise.
Les PME et ETI sont les moins préparées à ce contexte, et devront s’équiper pour faire face à la menace. Cela se fera grâce aux partenaires IT qui les accompagnent au quotidien, au renforcement de leur posture de sécurité … et aux assureurs qui devront répondre présent pour garantir la pérennité de ces entreprises en cas d’attaque. C’est ce modèle de travail collaboratif avec les professionnels IT que nous souhaitons porter avec Stoïk.