Le IBM Security X-Force Threat Intelligence Index 2023, une analyse des données recueillies à partir des capteurs de réseau et d’enquêtes sur des incidents, est rempli d’un éventail vertigineux de chiffres sur les violations des contrôles de sécurité.
Mais on peut dire qu’un seul de ces chiffres est le plus important : celui qui illustre comment les attaques les plus réussies commencent. Et la réponse pour 2022 – encore une fois – est l’hameçonnage.
Le rapport, publié aujourd’hui, indique que l’hameçonnage est resté le principal vecteur d’infection l’année dernière, identifié dans 41 % des incidents. Parmi ces attaques d’hameçonnage, 62 % étaient du « spear phishing ».
L’exploitation d’applications accessibles au public – parce que, par exemple, elles n’étaient pas sécurisées ou non corrigées – représentait 26 % des incidents.
L’abus de comptes valides a été identifié dans 16 % des incidents observés. Il s’agit de cas où des adversaires ont obtenu et abusé des informations d’identification de comptes existants pour y accéder. Ces incidents comprenaient des comptes infonuagiques, des comptes par défaut, des comptes de domaine et des comptes locaux.
L’exploitation des services à distance était le quatrième vecteur d’attaque le plus courant, utilisé dans 12 % des attaques réussies. Toutes les vulnérabilités exploitées par les cybercriminels n’entraînent pas un cyberincident, ajoute le rapport. Le nombre d’incidents résultant de l’exploitation des vulnérabilités en 2022 a diminué de 19 % par rapport à 2021, après avoir augmenté de 34 % par rapport à 2020. IBM pense que cette évolution est due à la vulnérabilité généralisée Log4J fin 2021.
Les infections par des macros malveillantes sont tombées en disgrâce, ajoute le rapport, probablement en raison de la décision de Microsoft de bloquer les macros par défaut. Pour compenser, les attaquants utilisent de plus en plus des fichiers ISO et LNK malveillants comme principale tactique pour diffuser des logiciels malveillants via le pourriel.
Parmi les recommandations du rapport à l’intention des responsables de la sécurité informatique :
- Les organisations devraient élaborer des plans de réponse aux incidents adaptés à leur environnement. Ces plans doivent être régulièrement testés et modifiés à mesure que l’organisation évolue, en mettant l’accent sur l’amélioration des temps de réponse, de remédiation et de récupération.
- Donner la priorité à la découverte d’actifs sur le périmètre, comprendre l’exposition de l’organisation aux attaques d’hameçonnage et réduire les surfaces d’attaque contribuent davantage à la sécurité globale. Étendre les programmes de gestion des actifs pour inclure le code source, les informations d’identification et d’autres données qui pourraient déjà exister sur Internet ou sur le dark web.
- Avoir une visibilité appropriée sur les sources de données qui indiqueraient la présence d’un attaquant.
Le rapport complet (en anglais) peut être téléchargé ici. L’inscription est requise.
Adaptation et traduction française par Renaud Larue-Langlois.
