Rapport sur la défense numérique de 2022 de Microsoft
Informations tirées de milliards de signaux de sécurité quotidiens
Un avantage unique
L'objectif du Rapport de défense numérique Microsoft, qui en est à sa troisième année (précédemment appelé Rapport de veille de sécurité Microsoft avec plus de 22 rapports archivés), est de mettre en lumière l'évolution du paysage des menaces numériques dans quatre domaines clés : la cybercriminalité, les menaces des États-nations, les appareils & les infrastructures et les opérations de cyber-influence, tout en fournissant des informations et des conseils sur la manière d'améliorer la cyber-résilience.
Microsoft compte des milliards de clients dans le monde, ce qui nous permet de rassembler des données de sécurité provenant d'un éventail large et diversifié d'organisations et de consommateurs. Ce rapport s'appuie sur l'étendue et la profondeur de nos informations sur les signaux provenant de l'ensemble de Microsoft, y compris le cloud, les terminaux et la périphérie intelligente. Ce point de vue unique nous donne une image fidèle du paysage des menaces et de l'état actuel de la cybersécurité, y compris des indicateurs qui nous aident à prédire les prochaines actions des attaquants. Nous considérons que la transparence et le partage d'informations sont essentiels pour aider nos clients à devenir plus résilients sur le plan cybernétique et pour protéger l'écosystème.
Dans ce résumé global du rapport, vous découvrirez l'état de la cybercriminalité, comment les appareils de l'Internet des objets (IoT) deviennent une cible de plus en plus populaire, les nouvelles tactiques des États-nations et la montée en puissance des cybermercenaires, les opérations de cyber-influence et, surtout, comment rester résilient en ces temps difficiles.
- 43 billions de signaux par jour, synthétisés à l'aide d'algorithmes sophistiqués d'analyse de données et d'IA pour comprendre et se protéger contre les menaces numériques et la cyberactivité criminelle
- Plus de 8 500 Ingénieurs, chercheurs, scientifiques des données, chasseurs de menaces, analystes géopolitiques, enquêteurs, intervenants de première ligne et experts en cybersécurité dans 77 pays
- Plus de 15 000 partenaires dans notre écosystème de sécurité qui renforcent la cyber-résilience de nos clients
La cybercriminalité continue d’augmenter en raison d’une hausse inquiétante des attaques aléatoires et ciblées. Nous avons observé des menaces de plus en plus diverses dans le paysage numérique, avec des développements dans les méthodes de cyberattaque et l'infrastructure criminelle utilisée pour renforcer la guerre cinétique lors de l'invasion russe de l'Ukraine.
Les attaques par rançongiciel représentent un danger croissant pour tous les individus, car les infrastructures critiques, les entreprises de toutes tailles et les gouvernements locaux et nationaux sont la cible de criminels qui s'appuient sur un écosystème cybercriminel en pleine expansion. Les attaques par rançongiciel sont devenues de plus en plus audacieuses et leurs effets de plus en plus étendus. Un effort durable et fructueux contre cette menace nécessitera une stratégie pangouvernementale à mettre en œuvre en partenariat étroit avec le secteur privé.
L'analyse de nos missions d'intervention et de récupération nous a permis de constater que les contrôles d'identité étaient faibles, les opérations de sécurité inefficaces et les stratégies de protection des données incomplètes au sein des organisations touchées.
Cette année a vu une augmentation significative de l’hameçonnage et du vol d'informations d'identification systématiques pour obtenir des informations qui sont vendues et utilisées dans des attaques ciblées telles que le rançongiciel, l'exfiltration et l'extorsion de données, et la compromission des e-mails d'entreprise.
La cybercriminalité en tant que service (CaaS) est une menace croissante et évolutive pour les clients du monde entier. L'unité de lutte contre la criminalité numérique de Microsoft (DCU) a observé une croissance continue de l'écosystème CaaS avec un nombre croissant de services en ligne facilitant la cybercriminalité, y compris la compromission des services de courrier professionnel (BEC) et les rançongiciels exploités par les humains. Les vendeurs de CaaS proposent de plus en plus souvent à l'achat d’informations d'identification compromises et nous voyons de plus en plus de services et de produits CaaS dotés de fonctions améliorées pour éviter d'être détectés.
Les attaquants trouvent de nouveaux moyens d’implémenter des techniques et d'héberger leur infrastructure opérationnelle, par exemple en compromettant des entreprises pour héberger des campagnes d’hameçonnage, des logiciels malveillants ou en utilisant leur puissance de calcul pour extraire de la crypto-monnaie. Les appareils de l'Internet des objets (IoT) deviennent une cible de plus en plus populaire pour les cybercriminels qui utilisent des botnets à grande échelle. Lorsque les routeurs ne sont pas mis à jour et qu'ils sont exposés directement à Internet, les acteurs de la menace peuvent en abuser pour accéder aux réseaux, exécuter des attaques malveillantes et même soutenir leurs opérations.
L'année dernière, l'hacktivisme a pris de l'ampleur, avec des citoyens privés qui mènent des cyberattaques pour atteindre des objectifs sociaux ou politiques. Des milliers d'individus ont été mobilisés pour lancer des attaques dans le cadre de la guerre entre la Russie et l'Ukraine. Bien qu'il reste à voir si cette tendance se poursuivra, l'industrie technologique doit s'unir pour concevoir une réponse globale à cette nouvelle menace.
L'accélération de la transformation numérique a accru les risques liés à la cybersécurité pour les infrastructures critiques et les systèmes cyber-physiques. Alors que les organisations tirent parti des progrès informatiques et que les entités opèrent leur transformation numérique pour prospérer, la surface d’attaque du monde numérique augmente de façon exponentielle.
L'adoption rapide des solutions IoT a augmenté le nombre de vecteurs d'attaque et le risque d'exposition des organisations. Cette migration a dépassé la capacité de la plupart des organisations à suivre le rythme, car les logiciels malveillants en tant que service se sont transformés en opérations à grande échelle contre les infrastructures civiles et les réseaux d'entreprise.
Nous avons observé une augmentation des menaces exploitant des dispositifs dans chaque partie de l'organisation, des équipements informatiques traditionnels aux contrôleurs de technologie opérationnelle (OT) ou aux simples capteurs IoT. Nous avons vu des attaques sur les réseaux électriques, des attaques de rançongiciel perturbant les opérations OT, et des routeurs IoT exploités pour une plus grande persistance. Parallèlement, les vulnérabilités des microprogrammes (des logiciels intégrés dans le matériel ou le circuit imprimé d'un appareil) ont été de plus en plus ciblées pour lancer des attaques dévastatrices.
Pour contrer ces menaces et d'autres, les gouvernements du monde entier élaborent et font évoluer leurs politiques afin de gérer les risques liés à la cybersécurité des infrastructures critiques. Nombre d'entre eux adoptent également des politiques visant à améliorer la sécurité des appareils IoT et OT. La vague croissante d'initiatives politiques à l'échelle mondiale crée d'énormes possibilités pour renforcer la cybersécurité, mais pose également des défis aux parties prenantes de l'ensemble de l'écosystème. Les activités politiques menées simultanément dans les régions, les secteurs, les technologies et les domaines de la gestion du risque opérationnel peuvent entraîner des chevauchements et des incohérences au niveau du champ d'application, des exigences et de la complexité des exigences. Les organisations des secteurs public et privé doivent saisir l'occasion de renforcer la cybersécurité par un engagement et des efforts supplémentaires en faveur de la cohérence.
- 68 % des répondants estiment que l'adoption de l'IoT/OT est essentielle à leur transformation numérique stratégique
- 60 % reconnaissent que la sécurité de l'IoT/OT est l'un des aspects les moins sécurisés de leur infrastructure
Au cours de l'année écoulée, les groupes de cybermenaces des États-nations sont passés de l'exploitation de la chaîne d'approvisionnement en logiciels à l'exploitation de la chaîne d'approvisionnement en services informatiques, en ciblant les fournisseurs de solutions dans le cloud et de services gérés pour atteindre les clients en aval dans les secteurs de l'administration, de la politique et des infrastructures critiques.
Alors que les organisations renforcent leurs mesures en matière de cybersécurité, les acteurs étatiques ont réagi en adoptant des tactiques nouvelles et uniques pour lancer des attaques et échapper à la détection. L'identification et l'exploitation des vulnérabilités zero-day est une tactique clé dans cet effort. Le nombre de vulnérabilités zero-day divulguées publiquement au cours de l'année écoulée est comparable à celui de l'année précédente, qui était le plus élevé jamais enregistré. De nombreuses organisations pensent qu'elles sont moins susceptibles d'être victimes d'attaques zero-day liées à l’exploitation d’une faille de sécurité si la gestion des vulnérabilités fait partie intégrante de la sécurité de leur réseau. Cependant, la banalisation de ce genre d’attaques les fait apparaître à un rythme beaucoup plus soutenu. Les exploitation de faille de sécurité zero-day sont souvent découvertes par d'autres acteurs et réutilisées à grande échelle en peu de temps, ce qui met en péril les systèmes non mis à jour.
Nous avons vu se développer une industrie d'acteurs offensifs du secteur privé, ou cyber mercenaires, qui développent et vendent des outils, des techniques et des services à des clients (souvent des gouvernements) pour s'introduire dans des réseaux, des ordinateurs, des téléphones et des appareils connectés à Internet. Si elles constituent un atout pour les acteurs des États-nations, ces entités mettent souvent en danger les dissidents, les défenseurs des droits de l'homme, les journalistes, les acteurs de la société civile et d'autres citoyens. Ces cybermercenaires fournissent des capacités avancées de « surveillance en tant que service » que de nombreux États-nations n'auraient pas été en mesure de développer seuls.
La démocratie a besoin d'informations fiables pour s'épanouir. Les opérations d'influence développées et perpétuées par les États-nations constituent un domaine d'intérêt majeur pour Microsoft. Ces campagnes sapent la confiance, accentuent la polarisation et menacent les processus démocratiques.
En particulier, nous voyons certains régimes autoritaires travailler ensemble pour polluer l'écosystème de l'information à leur avantage mutuel. Les campagnes visant à obscurcir l'origine du virus COVID-19 en sont un exemple. Depuis le début de la pandémie, la propagande russe, iranienne et chinoise du COVID-19 a renforcé la couverture médiatique pour amplifier ces thèmes centraux.
Augmentation de 900 % d'une année sur l'autre de la prolifération des deepfakes depuis 2019
Nous entrons également dans ce qui devrait être l'âge d'or de la création et de la manipulation de médias par l'IA, grâce à la prolifération d'outils et de services permettant de créer artificiellement des images, des vidéos, des sons et des textes synthétiques très réalistes et à la capacité de diffuser rapidement des contenus optimisés pour des publics spécifiques. Une menace à plus long terme et encore plus insidieuse pèse sur notre compréhension de ce qui est vrai si nous ne pouvons plus faire confiance à ce que nous voyons et entendons.
L'évolution rapide de l'écosystème de l'information, associée aux opérations d'influence des États-nations (y compris la fusion des cyberattaques traditionnelles avec les opérations d'influence et l'ingérence dans les élections démocratiques) nécessite une approche globale de la société. Une coordination accrue et un meilleur partage de l'information entre le gouvernement, le secteur privé et la société civile sont nécessaires pour accroître la transparence de ces campagnes d'influence et pour dénoncer et perturber les campagnes.
Il est de plus en plus urgent de répondre aux menaces croissantes qui pèsent sur l'écosystème numérique. Les motivations géopolitiques des acteurs de la menace ont montré que les États ont intensifié leur recours aux cyberopérations offensives pour déstabiliser les gouvernements et influer sur les opérations commerciales mondiales. Face à l'augmentation et à l'évolution de ces menaces, il est essentiel d'intégrer la cyber-résilience au cœur de l'organisation.
Comme nous l’avons constaté, de nombreuses cyberattaques réussissent simplement parce que l'hygiène de base en matière de sécurité n'a pas été respectée. Normes minimales que chaque organisation devrait adopter :
- Vérification explicite : Assurez-vous que les utilisateurs et les appareils sont en bon état avant d’autoriser l’accès aux ressources.
- Utilisation du droit d’accès minimal : Autoriser seulement le privilège nécessaire pour l’accès à une ressource, rien de plus.
- Supposition d’une violation de la sécurité : Supposez que les défenses du système ont été franchies et que les systèmes pourraient être compromis. Cela signifie qu’il faut analyser en permanence l’environnement pour détecter toute attaque éventuelle.
Utiliser des logiciels anti-programme malveillant modernes
Implémentez des logiciels pour vous aider à détecter et bloquer automatiquement les attaques, et fournir des informations aux opérations de sécurité. Il est essentiel de surveiller les informations fournies par les systèmes de détection des menaces pour pouvoir y réagir à temps.
Restez à jour
Les systèmes non corrigés et obsolètes sont l’une des principales raisons pour lesquelles de nombreuses organisations sont victimes d’une attaque. Veillez à ce que tous les systèmes soient maintenus à jour, y compris les microprogrammes, le système d’exploitation et les applications.
Protéger les données
Pour mettre en œuvre la protection appropriée, il est essentiel de connaître ses données importantes, de savoir où elles se trouvent et de savoir si les bons systèmes sont mis en œuvre.
Source : Archive du Rapport de défense numérique Microsoft - Novembre 2022