Comme le révèlent les détails du Rapport de défense numérique Microsoft de 2023, les cybermenaces continuent de gagner en sophistication, en rapidité et en ampleur, compromettant un nombre toujours croissant de services, d’appareils et d’utilisateurs. Alors que nous faisons face à ces défis et que nous nous préparons à un avenir où l’IA peut contribuer à uniformiser les règles du jeu, il est impératif d’agir de manière décisive sur chacune de ces dix informations.
Obtenez des informations directement des experts sur le podcast Microsoft Threat Intelligence. Écoutez maintenant.
10 informations essentielles tirées du Rapport de défense numérique Microsoft 2023
En tant qu’entreprise qui s’engage à rendre le monde plus sûr, Microsoft a beaucoup investi dans la recherche en matière de sécurité, l’innovation et la communauté mondiale de la sécurité. Nous avons accès à un large éventail de données de sécurité, ce qui nous place dans une position unique pour comprendre l’état de la cybersécurité et identifier les indicateurs qui peuvent aider à prédire les prochaines actions des attaquants.
Dans le cadre de son engagement de longue date à créer un monde plus sûr, Microsoft investit dans la recherche et l’innovation en matière de sécurité et dans la communauté mondiale de la sécurité :
Pour en savoir plus sur cette image, voir la page 6 du rapport complet
La grande majorité des cyberattaques réussies pourrait être empêchée en implémentant quelques pratiques d’hygiène de sécurité fondamentales. L’utilisation d’un nuage à grande échelle facilite leur mise en œuvre, soit en les activant par défaut, soit en faisant abstraction de la nécessité pour les clients de les mettre en œuvre.
Courbe en cloche de la cyberhygiène tirée du Rapport de défense numérique Microsoft (MDDR) de 2023. Pour en savoir plus sur cette image, voir la page 7 du rapport complet.
Notions de base de la cyberhygiène
Activez la MFA : cela protège contre les mots de passe d’utilisateur compromis et permet de fournir une résilience supplémentaire pour les identités.
Appliquer les principes de Confiance nulle : la pierre angulaire de tout plan de résilience est de limiter l’impact d’une attaque. Ces principes sont les suivants : 1) Vérification explicite. Assurez-vous que les utilisateurs et les appareils sont en bon état avant d’autoriser l’accès aux ressources. 2) Utilisation du droit d’accès minimal. Autorisez uniquement les privilèges nécessaires pour accéder à une ressource, et pas plus. 3) Supposition d’une violation de la sécurité. Supposez que les défenses du système ont été enfreintes et que les systèmes pourraient être compromis. Cela signifie qu’il faut analyser en permanence l’environnement pour détecter toute attaque éventuelle.
Utilisez la détection et la réponse étendues (XDR) et les logiciels anti-programme malveillant : implémentez des logiciels pour détecter et bloquer automatiquement les attaques et fournir des informations au logiciel des opérations de sécurité. Il est essentiel de surveiller les informations fournies par les systèmes de détection des menaces pour pouvoir réagir rapidement aux cybermenaces.
Restez à jour : les attaquants profitent des systèmes non corrigés et obsolètes. Veillez à ce que tous les systèmes soient maintenus à jour, y compris les microprogrammes, le système d’exploitation et les applications.
Protégez les données : il est essentiel de connaître vos données importantes, de savoir où elles se trouvent et si les défenses appropriées sont implémentées pour mettre en œuvre la protection appropriée.
La télémétrie de Microsoft indique une augmentation du taux d’attaques par ransomware par rapport à l’année dernière, les attaques par ransomware opérées par des humains ayant triplé depuis septembre 2022. À l’avenir, nous pensons que les opérateurs de ransomware chercheront à tirer parti de l’automatisation, de l’IA et des systèmes nuage hyperscale pour mettre à l’échelle et maximiser l’efficacité de leurs attaques.
Paysage des rançongiciels (ransomware)
Pour en savoir plus sur cette image, voir la page 2 du rapport complet
Élimination des ransomwares avec cinq principes fondamentaux
Nous avons repéré cinq principes fondamentaux que chaque entreprise devrait mettre en œuvre pour se défendre contre les ransomwares au niveau de l’identité, des données et des points de terminaison.
- Authentification moderne avec des informations d’identification anti-hameçonnage
- Droit d’accès minimal appliqué à l’ensemble de la pile technologique
- Environnements sans menaces et sans risques
- Gestion de la posture pour la conformité et l’intégrité des appareils, services et ressources
- Sauvegarde et synchronisation de fichiers automatiques dans le nuage pour les données critiques des utilisateurs et des entreprises
Les données de Microsoft Entra révèlent que les tentatives d’attaques de mot de passe ont plus que décuplé par rapport à la même période, l’année dernière. L’un des moyens de dissuader les attaquants potentiels consiste à utiliser des informations d’identification non « hameçonnables », telles que Windows Hello Entreprise ou les clés FIDO.
Graphique montrant le nombre d’attaques de mots de passe par rapport à la même période, l’année dernière. Pour en savoir plus sur cette image, voir la page 16 du rapport complet.
Le saviez-vous ?
L’une des principales raisons pour lesquelles les attaques de mot de passe sont si fréquentes est le manque de sécurité. De nombreuses organisations n’ont pas activé la MFA pour leurs utilisateurs, ce qui les rend vulnérables aux attaques par hameçonnage, par bourrage d’identifiants et par force brute.
Les acteurs de la menace adaptent leurs techniques de piratage psychologique et leur utilisation de la technologie pour mener des attaques BEC plus sophistiquées et plus coûteuses. L’équipe Microsoft Digital Crimes Unit estime qu’un meilleur partage des informations entre les secteurs public et privé permettra d’apporter une réponse plus rapide et plus efficace aux BEC.
Nombre de tentatives quotidiennes de BEC observées entre avril 2022 et avril 2023. Pour en savoir plus sur cette image, voir la page 33 du rapport complet.
Le saviez-vous ?
L’équipe Microsoft Digital Crimes Unit a pris les devants en suivant et en surveillant activement 14 sites de déni de service, dont un situé sur le dark web, dans le cadre de son engagement à identifier les cybermenaces potentielles et à garder une longueur d’avance sur les cybercriminels.
Les acteurs des États-nations ont élargi la portée de leurs cyber-opérations dans le cadre de la collecte d’informations. Les organisations impliquées dans les infrastructures critiques, l’éducation et la mise en œuvre des politiques ont été parmi les plus ciblées, conformément aux objectifs géopolitiques et aux missions d’espionnage de nombreux groupes. Pour détecter d’éventuelles infractions liées à l’espionnage, il convient de surveiller les modifications apportées aux boîtes aux lettres et aux autorisations.
Voici les pays les plus ciblés par région* :
Instantané des acteurs de la menace des États-nations dans le monde. Une décomposition plus complète des données peut être trouvée dans le rapport. Pour en savoir plus sur cette image, voir la page 12 du rapport complet.
Le saviez-vous ?
Cette année, Microsoft a lancé une nouvelle taxonomie de désignation des acteurs de la menace. La nouvelle taxonomie apportera une plus grande clarté aux clients et aux chercheurs en sécurité grâce à un système de référence des acteurs de la menace mieux organisé et plus facile à utiliser.
Les acteurs des États-nations emploient plus fréquemment des opérations d’influence parallèlement à des cyber-opérations pour diffuser des récits de propagande de leur choix, attiser les tensions sociales et amplifier les doutes et la confusion. Ces opérations sont souvent menées dans le cadre de conflits armés et d’élections nationales.
Catégorie d’acteurs Blizzard
Les acteurs de l’État russe ont étendu leur champ d’action au-delà de l’Ukraine pour cibler les alliés de Kiev, principalement les membres de l’OTAN.
Catégorie d’acteurs Typhon
Les activités élargies et sophistiquées de la Chine reflètent sa double quête d’influence mondiale et de collecte de renseignements. Ses cibles comprennent la défense et les infrastructures critiques des États-Unis, les pays de la mer de Chine méridionale et les partenaires de l’initiative « la Ceinture et la Route ».
Catégorie d’acteurs Tempête de sable
L’Iran a étendu ses cyber-activités à l’Afrique, à l’Amérique latine et à l’Asie. S’appuyant fortement sur des opérations d’influence, il a mis en avant des récits visant à attiser l’agitation chiite dans les pays arabes du Golfe et à contrer la normalisation des liens israélo-arabes.
Catégorie d’acteurs Grésil
La Corée du Nord a accru la sophistication de ses cyber-opérations au cours de l’année écoulée, notamment en ce qui concerne le vol de cryptomonnaies et les attaques contre les chaînes d’approvisionnement.
Le saviez-vous ?
Si les photos de profil générées par l’IA sont depuis longtemps une caractéristique des opérations d’influence menées par les États, l’utilisation d’outils d’IA plus sophistiqués pour créer des contenus multimédias plus percutants est une tendance qui devrait persister avec la généralisation de ces technologies.
Les attaquants ciblent de plus en plus la grande vulnérabilité des technologies de l’information et des technologies opérationnelles (IT et OT), qui peuvent être difficiles à défendre. Par exemple, sur les 78 % d’ appareils IoT (Internet des objets) présentant des vulnérabilités connues sur les réseaux des clients, 46 % ne peuvent pas être corrigés. Un système d’administration robuste des correctifs est donc un élément essentiel de la stratégie de cybersécurité, tandis que la surveillance du réseau dans les environnements OT peut aider à détecter les activités malveillantes.
Pour en savoir plus sur cette image, voir la page 61 du rapport complet
Le saviez-vous ?
25 % des appareils OT sur les réseaux des clients utilisent des systèmes d’exploitation non pris en charge, ce qui les rend plus vulnérables aux cyberattaques en raison de l’absence de mises à jour essentielles et de protection contre l’évolution des cybermenaces.
L’IA peut améliorer la cybersécurité en automatisant et en augmentant les tâches de cybersécurité, ce qui permet aux défenseurs de détecter des modèles et des comportements cachés. Les LLM peuvent contribuer à la veille des menaces, à la réponse aux incidents et à la récupération, à la surveillance et à la détection, aux tests et à la validation, à l’éducation et à la sécurité, à la gouvernance, au risque et à la conformité.
Les chercheurs et les scientifiques appliqués de Microsoft explorent de nombreux scénarios d’application de LLM dans le domaine de la cyberdéfense :
Pour en savoir plus sur cette image, voir la page 98 du rapport complet
Le saviez-vous ?
L’équipe AI Red de Microsoft, composée d’experts interdisciplinaires, contribue à construire un avenir où l’IA sera plus sûre. Notre équipe AI Red émule les tactiques, techniques et procédures (TTP) des adversaires du monde réel pour identifier les risques, repérer les angles morts, valider les hypothèses et améliorer le niveau de sécurité global des systèmes d’IA. Pour en savoir plus sur l’équipe AI Red de Microsoft, consultez Microsoft AI Red Team building future of safer AI (L’équipe AI Red Team construit un avenir où l’IA sera plus sûre). | Blog sur la Sécurité Microsoft.
À mesure que les cybermenaces évoluent, la collaboration entre les secteurs public et privé sera essentielle pour améliorer la connaissance collective, favoriser la résilience et fournir des orientations en matière d’atténuation dans l’ensemble de l’écosystème de la sécurité. Par exemple, cette année, Microsoft, Fortra LLC et Health-ISAC ont collaboré pour réduire l’infrastructure cybercriminelle destinée à l’utilisation illicite de Cobalt Strike. Cela a entraîné une réduction de 50 % de cette infrastructure aux États-Unis.
Graphique montrant une réduction de 50 % des serveurs Cobalt Strike piratés aux États-Unis. Pour en savoir plus sur cette image, voir la page 115 du rapport complet.
Le saviez-vous ?
L’atlas mondial du cybercrime rassemble une communauté diversifiée de plus de 40 membres des secteurs privé et public afin de centraliser le partage des connaissances, la collaboration et la recherche sur la cybercriminalité. L’objectif est de perturber les cybercriminels en fournissant des renseignements qui facilitent l’action des autorités judiciaires et du secteur privé, ce qui conduit à des arrestations et au démantèlement d’infrastructures criminelles.
La pénurie mondiale de professionnels de la cybersécurité et de l’IA ne peut être résolue que par des partenariats stratégiques entre les établissements d’enseignement, les associations à but non lucratif, les gouvernements et les entreprises. L’IA pouvant contribuer à alléger ce fardeau, le développement des compétences en IA est une priorité absolue dans les stratégies de formation des entreprises.
Augmentation de 35 % de la demande d’experts en cybersécurité au cours de l’année écoulée. Pour en savoir plus sur cette image, voir la page 120 du rapport complet.
Le saviez-vous ?
L’initiative Microsoft AI Skills comprend de nouveaux cours gratuits développés en collaboration avec LinkedIn. Cela permet aux travailleurs d’apprendre les concepts d’introduction à l’IA, y compris les cadres l’IA responsable, et de recevoir un certificat Career Essentials à l’issue de la formation.
Suivez Microsoft