- Exclusif : 7 tendances du marché de la cybersécurité en 2022
- 2022 : SASE, XDR, Data Protection et Expertises Cyber
- 2022 sera l'année de l'authentification multifactorielle obligatoire
- 2022 sera l’année « Managée » !
- La France plus que jamais la cible de cyberattaques en 2022, mais ce n’est pas un cas isolé
- Professionnalisation des cyber-attaquants, sophistication et extension des surfaces d’attaque
- Les cybercriminels continueront à agir davantage comme des entreprises
- Prédictions 2022 : le règne du Rançongiciel... et des Patchs
A quoi devons-nous nous attendre en 2022 du côté de la cybersécurité ? Très probablement pas de révolution mais très certainement des évolutions. Notre laboratoire de recherche sur les menaces (FortiGuard Labs) prévoit des cyberattaques sur tout type de cibles, des portefeuilles de cryptomonnaies à l’Internet par satellite.
Malheureusement encore et toujours des rançongiciels. Mais probablement plus complexes et plus ciblées. Plus complexe d’abord via une intensification de l’exploitation des vulnérabilités, et aussi par la recherche de nouvelles méthodes de compromission mettant en œuvre des vecteurs de plus en plus discrets. Mais surtout par la professionnalisation des cybercriminels, qui fonctionnent désormais en gangs et ont accès à des technologies et des compétences très élaborées. L’accès à des techniques sophistiquées et persistantes pour les cybercriminels favoriseront les rançongiciels et les attaques plus dévastatrices sur les infrastructures.
Les tendances des attaquants
Les cybercriminels évoluent et se transforment de plus en plus en des groupes APT (Advanced Persistent Threat) : ils savent tirer parti des vulnérabilités zero-day, renforcent le potentiel dévastateur de leurs attaques et font appel à de nouvelles techniques pour atteindre leurs objectifs. Nous nous attendons à des attaques qui porteront au-delà du réseau étendu, parfois jusqu’aux liaisons spatiales. Les assaillants vont tirer parti d’un périmètre réseau fragmenté, d’outils et d’équipes cloisonnées chez leurs victimes et d’une surface d’attaque en forte expansion. Ces menaces pèseront lourdement sur des équipes IT qui devront, tant bien que mal, gérer l’ensemble des vecteurs d’attaque. Pour lutter contre des menaces en évolution, les entreprises devront quitter les approches en silo et opter pour des démarches de type plate-forme comme la Fortinet Security Fabric, basée sur une architecture maillée de cybersécurité.
Nous allons voir l’émergence de phases de reconnaissance plus actives, pour maximiser l’impact des malwares comme le rançongiciel. Les attaques sont souvent répertoriées en termes de phase amont et de phase aval, dans le contexte de la chaîne de frappe d’une attaque telle que décrite par le framework MITRE ATT&CK.
Le rançongiciel de plus en plus nuisible : le crimeware devrait s’étendre et le rançongiciel restera une préoccupation majeure à l’avenir. Les auteurs d’attaques par rançongiciel n’hésitent pas à associer ce malware à des attaques de type DDoS (distributed denial-of-service) pour tenter de submerger les équipes IT et les empêcher d’agir en temps réel pour juguler l’attaque en cours. Le choix d’un malware avec un compte à rebours, capable de supprimer des données, voire de détruire un système, crée un sentiment d’urgence qui devrait inciter les entreprises à régler la rançon exigée par les cybercriminels. (…)
Les cybercriminels tirent parti de l’intelligence artificielle pour optimiser les usurpations d’identité : elle est déjà utilisée par les lignes de défense, notamment pour détecter des comportements suspects généralement associés à des botnets. Les cybercriminels utilisent également l’IA pour contourner les algorithmes complexes qui permettent de détecter les activités suspectes. Dans le futur, les tentatives d’usurpation devraient évoluer : l’IA sera utilisée pour simuler des activités humaines ou pour optimiser les techniques d’ingénierie sociale. (…)
Toujours plus de cibles
Les cybercriminels s’en prendront à toutes les cibles : porte-monnaie en ligne, communications spatiales, réseaux résidentiels, etc.
Pour les défenseurs, le défi à venir ne se résume pas à un nombre d’attaques qui progresse ou à la sophistication croissante des techniques d’attaque. De nouveaux domaines cibles sont identifiés au sein d’une surface d’attaque toujours plus large. Le défi s’annonce d’autant plus important que les entreprises vont étendre leurs réseaux. De nouveaux edges réseau émergeront, encouragés par le télétravail, l’apprentissage à distance et de nouveaux services cloud. Parallèlement, à la maison, l’apprentissage à distance et les jeux en ligne sont devenus des activités courantes, ciblées par les cybercriminels. Les assaillants se concentreront sur ces edges et environnements émergents, sur l’ensemble du réseau étendu, plutôt que de ne cibler que le cœur de réseau.
La cybercriminalité s’en prend aux liaisons spatiales : nous nous attendons à des menaces ciblant les réseaux satellitaires au cours de l’année prochaine, puisque l’accès à Internet par satellite est un domaine en expansion. Les cibles principales seront les entreprises utilisant des liaisons satellitaires à faible latence dans le cadre de leurs activités : jeux en ligne, fourniture de services critiques sur des sites distants (bureaux sur le terrain, pipelines, croisières, avions, etc.). La surface d’attaque potentielle s’étendra puisque les entreprises ajouteront des réseaux satellitaires pour connecter leurs systèmes autrefois hors ligne (dispositifs OT par exemple) à leurs réseaux. Il est probable que ceci ouvre la voie à des attaques et menaces comme le rançongiciel.
Les portefeuilles numériques deviendront des cibles : le détournement de transferts bancaires est devenu complexe pour les cybercriminels, puisque les institutions bancaires chiffrent les transactions et utilisent l’authentification multifactorielle. (…)
L’e-sport est également une cible : l’e-sport regroupe des compétitions multi-joueurs en ligne, avec souvent des joueurs et des équipes professionnels. Ce secteur florissant, qui devrait peser $1 milliard cette année, est une cible séduisante pour les cybercriminels et leurs attaques DDoS, rançongiciel, détournements de données financières & transactionnelles et attaques d’ingénierie sociale. En effet, cette activité nécessite une connectivité constante et utilise souvent des réseaux résidentiels à la sécurité aléatoire, ou un accès wi-fi ouvert. Compte tenu de la nature interactive du jeu, l’e-sport est également la cible d’attaques par ingénierie sociale. La croissance soutenue de l’e-sport et des jeux en ligne en font des cibles privilégiées pour des attaques d’envergure en 2022.
Le réseau périphérique (Edge) constitue un nouveau terrain de jeu pour les cybercriminels. Les réseaux Edge accueillent toujours plus d’objets connectés, de dispositifs OT et d’appareils intelligents optimisés par la 5G et l’IA, qui permettent la création de transactions et d’applications en temps réel. De nouvelles menaces cibleront les edges puisque les cybercriminels s’en prennent à la totalité du réseau étendu pour identifier un point d’entrée pour leurs attaques. Les cybercriminels s’attacheront ainsi à tirer le meilleur parti des failles de sécurité existantes et générées par les edges intelligents, pour concevoir des menaces sophistiquées, plus destructrices et œuvrant à très grande échelle. (…)
Les tendances de cyberdéfense
Vers les plateformes de type Security Fabric basées sur une architecture de sécurité maillée. Cette ‘Cybersecurity Mesh Architecture’ est décrite par le Gartner comme une grande tendance pour 2022. Le périmètre est devenu de plus en plus fragmenté et les équipes de cybersécurité fonctionnent souvent de manière cloisonnée. D’autre part, nombre d’entreprises migrent vers un modèle de multicloud hybride. Dans ce contexte, il devient plus simple pour les cybercriminels d’opter pour une approche holistique et sophistiquée. Une architecture maillée de cybersécurité intègre des fonctions de sécurité au cœur des réseaux et des ressources multisites. En optant pour une approche de type Security Fabric, les entreprises disposent d’une plateforme intégrée qui protège toutes les ressources sur site, dans les data centers, dans le cloud ou sur l’edge.
Les défenseurs devront être capables d’anticiper en tirant parti de l’IA et du machine learning pour accélérer la prévention, la détection et la réponse aux menaces. Les technologies endpoint comme l’EDR (endpoint detection and response) permettent d’identifier des menaces sur la base de leur comportement. L’accès réseau Zero Trust (ZTNA) s’imposera pour sécuriser les accès aux applications des télétravailleurs, tandis que le SD-WAN sécurisé devient essentiel pour protéger des edges WAN en évolution. D’autre part, la segmentation restera une stratégie nécessaire pour freiner les mouvements latéraux des cybercriminels au sein d’un réseau et confiner les incidents à une zone plus restreinte du réseau. Une veille décisionnelle et intégrée sur les menaces améliore la capacité d’une entreprise de se défendre en temps réel, face à des attaques toujours plus rapides. Cependant, pour tous les secteurs d’activité et profils d’entreprise, le partage d’informations et les partenariats favorisent une réponse plus efficace aux menaces et permettent d’anticiper les techniques futures de l’adversaire pour les contrer. L’alignement des efforts grâce à la collaboration reste une priorité pour neutraliser les cybercriminels, avant que ces derniers tentent d’en faire de même.
Christophe Auberger, CTO de Fortinet en France