Selon une estimation, en 2024, 147 zetta octets de données sont créés, capturés, copiés et/ou utilisés chaque jour. Aux USA, selon l’ITRC, plus de 3 200 violations de données ont été constatées en 2023, en hausse de 72% par rapport à 2021.
Malgré les dizaines de milliards de dollars dépensées par an en cyber-sécurité par les entreprises, les violations de données continuent de croitre. Pourquoi ? L’ampleur et la diversité des attaques, l’ingéniosité des pirates et la taille de la surface d’attaque des entreprises fournissent certaines des réponses.
L’an dernier, 68 % des violations analysées par Verizon provenaient d’une « action humaine non malveillante ». Cela peut être une mauvaise configuration de systèmes informatiques critiques tels que des comptes cloud. Cela peut être une erreur aussi simple que l’omission d’un mot de passe fort et unique.
Mais il y a aussi la menace d’initiés internes malveillants. Ils sont plus difficiles à repérer si la personne en question cache délibérément des preuves de l’acte répréhensible, alors qu’elle est en mesure d’utiliser sa connaissance des processus internes. Le coût de tels incidents croît de façon vertigineuse.
Les états-nations sont aussi des adversaires tenaces et sophistiqués. Ils ne représentent qu’environ 7 % des violations (Verizon), mais ont de grandes chances de réussir si une organisation est une cible ou se retrouve prise entre deux feux.
Les plus importantes menaces auxquelles une entreprise est confrontée sont le phishing et autres tentatives d’ingénierie sociale, qui sont une des principales voies de compromission. Les êtres humains restent faillibles et se font souvent prendre par les histoires des fraudeurs. Ceux-ci récupèrent alors des informations et adaptent leurs messages sur les médias sociaux, en particulier LinkedIn.
Les chaînes d’approvisionnement peuvent être piratées de diverses façons. Les cybercriminels peuvent utiliser des fournisseurs de services cloud ou d’infogérance (CSP/MSP) comme tremplin vers des organisations clientes. Ils peuvent implanter des maliciels dans des composants open source et attendre qu’ils soient téléchargés. Ils peuvent pirater un développeur et installer des maliciels dans les mises à jour logicielles, comme lors de la campagne SolarWinds.
L’exploitation des vulnérabilités est une des principales méthodes de déclenchement des attaques de rançongiciel. Selon Verizon, le volume d’exploitation des vulnérabilités liées aux violations de données a augmenté de 180 % par rapport à 2023. Le nombre de vulnérabilités zero-day augmente aussi et doit être une source de préoccupation encore plus grande, car il s’agit de failles pour lesquelles il n’y a pas encore de correctif logiciel.
Les identifiants compromis sont souvent le résultat d’une mauvaise gestion des mots de passe, d’attaques de phishing réussies, de violations de données à grande échelle ou d’attaques par force brute. Ce sont les moyens les plus efficaces de contourner les cyberdéfenses sans déclencher d’alarme. Selon Verizon, l’utilisation d’identifiants volés est apparue dans 31 % de toutes les violations au cours de la dernière décennie.
Le BYOD offre des opportunités aux acteurs malveillants, car les employés oublient souvent de télécharger un anti malware sur leurs appareils personnels et les pirates obtiennent alors des identifiants pour les comptes cloud de l’entreprise, l’accès aux e-mails professionnels, etc.
Il y a des techniques post-exploitation qui sont couramment utilisées pour le déplacement latéral et l’exfiltration et qui permettent aux adversaires de ne pas être vu. En utilisant des outils comme Cobalt Strike, PsExec et Mimikatz, ils peuvent exécuter des fonctions d’une manière très difficile à repérer.
Les outils basés IA peuvent aussi aider les cybercriminels. En janvier 2024, le Centre national de cyber-sécurité du Royaume-Uni (NCSC) déclarait que la technologie « augmentera presque certainement le volume et renforcera l’impact des cyberattaques au cours des deux prochaines années », en particulier dans la reconnaissance et l’ingénierie sociale.
Il faut donc agir sur tous les fronts afin de réduire les risques sur une surface d’attaque qui ne cesse de croître à chaque investissement dans la transformation numérique, chaque poste de travail à distance non patché et chaque identifiant volé.
Conserver leurs données les plus sensibles sous clé exige une vigilance de la part des individus et des entreprises auxquelles ils font confiance pour protéger leurs informations. Un manquement à cette règle peut être grave tout comme la perte de confiance des clients. Mais prouver qu’une entreprise est un gardien responsable de ces données peut être un puissant différenciateur concurrentiel.