- Exclusif : 7 tendances du marché de la cybersécurité en 2022
- 2022 : SASE, XDR, Data Protection et Expertises Cyber
- 2022 sera l'année de l'authentification multifactorielle obligatoire
- 2022 sera l’année « Managée » !
- La France plus que jamais la cible de cyberattaques en 2022, mais ce n’est pas un cas isolé
- Professionnalisation des cyber-attaquants, sophistication et extension des surfaces d’attaque
- Les cybercriminels continueront à agir davantage comme des entreprises
- Prédictions 2022 : le règne du Rançongiciel... et des Patchs
La communauté des attaquants a toujours eu des spécialistes vers lesquels les autres acteurs participants à l’écosystème des menaces pouvaient se tourner. Cependant, des signes de plus en plus nombreux indiquent que la spécialisation et la division du travail s’intensifient au sein de la communauté des attaquants.
Le réseau de ransomware Gandcrab a démontré à la mi-2019 que le modèle d’affiliation était un moyen lucratif d’aborder les attaques de ransomware, et plusieurs services de surveillance du dark web ont documenté l’explosion ultérieure des offres de ransomware-as-a-service.
Simultanément, nous avons également observé des signes de spécialisation et de division du travail dans la communauté des fraudeurs. Patrick McKenzie a récemment écrit sur la spécialisation dans la fraude comme moyen pour les attaquants de répartir et de gérer les risques, et des observations sur le terrain ont confirmées que les attaquants s’implantaient dans des environnements, puis vendaient l’accès au plus offrant pour passer à l’étape suivante de la chaine d’attaque.
Un marché généralisé de spécialistes qui travaillent avec presque n’importe qui
Les signes indiquent que, quelles que soient les techniques d’attaque spécifiques, nous assistons à un déplacement de la spécialisation au sein de sous-ensembles de sous-groupes de la communauté des attaquants vers un marché généralisé de spécialistes qui travaillent avec presque n’importe qui. En d’autres termes, nous commençons à voir le début d’un marché vraiment ouvert pour le travail et les services du côté des attaquants.
Cela a deux effets potentiels : cela rendra les vecteurs d’attaque plus résilients, dans le sens où un attaquant en amont a le choix entre plusieurs « fournisseurs » pour la phase suivante d’une attaque et peut les changer si nécessaire ; cela découplera également des étapes spécifiques d’une attaque, ce qui aidera les approches utilisant « les meilleures de leur catégorie » à proliférer plus largement et plus rapidement et rendra la détection et la correction plus difficiles. En effet, tout comme pour le textile à la fin du XVIIIe siècle, la spécialisation rendra chaque « secteur » de cette économie plus productif.
L’ensemble des attaquants commence à se fondre dans une industrie capitaliste mature
Il est évident dans notre industrie que les cybercriminels sont là pour gagner de l’argent, et la cybercriminalité, comme la plupart des crimes récurrents, est une entreprise. Ce que nous observons maintenant, ce ne sont pas seulement des acteurs individuels ou des groupes de menaces qui prennent des décisions comme une entreprise, mais l’ensemble du paysage des attaquants commence à se fondre dans une industrie capitaliste mature, composée d’entreprises qui se connectent les unes aux autres selon les besoins. La main invisible peut s’avérer être la caractéristique la plus dangereuse du paysage des menaces.
Face à ce constat, les entreprises auront de moins en moins les ressources internes nécessaires pour se battre toute seule face un écosystème de plus en plus maillé et efficace. Elles n’auront pas d’autre stratégie possible que de se reposer sur des acteurs externes leur fournissant des services de sécurité ayant les capacité et ressources leur permettent de suivre et s’adapter aux menaces de plus en plus complexes et spécialisées. Faisant monter ainsi les coûts pour les attaquants essayant de contourner les mesures de sécurité mises en place, combattant ainsi le mal par le mal en touchant les attaquants sur leur point sensible : la rentabilité de leur activité.
Arnaud Lemaire – directeur technique de F5 en France et Sander Vinberg & Remi Cohen de F5 Labs.
