Skip to main

Quand les attaquants planifient leurs campagnes, ils ont habituellement pour objectif de trouver des problématiques de sécurité facilement identifiables, telles que des serveurs publics avec des vulnérabilités bien connues, des mots de passe faibles ou des comptes compromis. D’année en année, ces vecteurs d’accès initiaux ont entrainé un nombre croissant de très sévères incidents de cybersécurité.

L'analyse des données anonymes des cas de réponse aux incidents traités par Kaspersky Global Emergency Response Team (GERT) dans le monde entier prouve que l'exploitation des applications publiques, accessibles à la fois depuis le réseau interne et l'Internet, est devenue le vecteur initial le plus utilisé pour pénétrer le périmètre d'une organisation[1]. La part de cette méthode comme vecteur d'attaque initial est passée de 31,5 % en 2020 à 53,6 % en 2021, tandis que l'utilisation de comptes compromis et d'emails malveillants a diminué, passant respectivement de 31,6 % à 17,9 % et de 23,7 % à 14,3 %. Ce changement est probablement lié aux vulnérabilités découvertes sur les serveurs Microsoft Exchange l'année dernière. L'omniprésence de ce service de messagerie et la disponibilité publique d'exploits pour ces vulnérabilités ont entraîné un nombre considérable d'incidents connexes.

Si l'on examine l'impact des attaques, le chiffrement des fichiers, qui est l'un des types de ransomware les plus courants et qui prive les organisations de l'accès à leurs données, demeure le principal problème auquel sont confrontées les entreprises depuis trois années consécutives. En outre, le nombre d'organisations ayant rencontré des chiffreurs dans leur réseau a considérablement augmenté au cours de la période observée (de 34 % en 2019 à 51,9 % en 2021). Autre aspect alarmant : dans bien plus de la moitié des cas (62,5 %), les attaquants passent plus d'un mois à l'intérieur du réseau avant de chiffrer les données.

Les adversaires parviennent à rester inaperçus à l'intérieur d'une infrastructure en grande partie grâce aux outils du système d'exploitation, aux outils offensifs bien connus et à l'utilisation de systèmes commerciaux, qui sont impliqués dans 40 % de tous les incidents. Après la pénétration initiale, les attaquants utilisent des outils légitimes à différentes fins : PowerShell pour collecter des données, Mimikatz pour escalader les privilèges, PsExec pour exécuter des commandes à distance ou des systèmes comme Cobalt Strike pour toutes les étapes de l'attaque.

"Notre rapport démontre qu'une politique de gestion des correctifs appropriée peut à elle seule réduire de 50 % la probabilité de réussite d'une attaque. Cela confirme une fois de plus la nécessité de mesures de cybersécurité de base. Dans le même temps, même la mise en œuvre la plus complète de ces mesures ne peut garantir une défense sans faille", commente Konstantin Sapronov, responsable du Global Emergency Response Team. "Étant donné que les adversaires ont recours à diverses méthodes malveillantes, la meilleure façon de protéger votre organisation est d'utiliser des outils et des approches qui permettent de remarquer et d'arrêter l'action adverse tout au long des différentes étapes d'une attaque."

Pour minimiser l’impact d’une attaque en cas d’urgence, Kaspersky adresse les recommandations suivantes :

-       Sauvegarder ses données afin de pouvoir toujours accéder aux fichiers cruciaux en cas d'attaque par un ransomware et utiliser des solutions capables de bloquer toute tentative de chiffrement de vos données.

-       Travailler avec un partenaire de confiance pour traiter les incidents avec des accords de niveau de service (SLA) rapides.

-       Former en permanence son équipe de réponse aux incidents afin de maintenir leur expertise et de rester au fait de l'évolution du paysage des menaces.

-       Mettre en œuvre des programmes de sécurité stricts pour les applications contenant des informations personnellement identifiables.

-       Comprendre les profils des adversaires qui ciblent votre secteur et votre région afin de donner la priorité au développement des opérations de sécurité.

-       Mettre en œuvre une solution de détection et de réponse sur les terminaux avec un service de détection et de réponse managé pour détecter et réagir rapidement aux attaques, entre autres.

L’intégralité du rapport d’Analyse de Réponse aux incidents est disponible sur Securelist

À propos de Kaspersky 

Kaspersky est une société internationale de cybersécurité et de protection de la vie privée numérique fondée en 1997. L’expertise de Kaspersky en matière de « Threat Intelligence » et sécurité informatique vient constamment enrichir la création de solutions et de services de sécurité pour protéger les entreprises, les infrastructures critiques, les autorités publiques et les particuliers à travers le monde. Le large portefeuille de solutions de sécurité de Kaspersky comprend la protection avancée des terminaux ainsi que des solutions et services de sécurité dédiés afin de lutter contre les menaces digitales sophistiquées et en constante évolution. Les technologies de Kaspersky aident plus de 400 millions d’utilisateurs et 240 000 entreprises à protéger ce qui compte le plus pour eux.



[1] Le rapport Incident Response Analyst donne un aperçu des services d'enquête sur les incidents menés par Kaspersky de janvier à décembre 2021 en Amérique du Sud et du Nord, en Europe, en Afrique, au Moyen-Orient, en Asie, ainsi qu'en Russie et dans la CEI.

L'exploitation d'applications Internet a été le premier vecteur d'attaque initial de 2021.

Selon le dernier rapport Analyse de la Réponse à Incident de Kaspersky, plus de la moitié des cyberattaques (53,6%) de 2021 ont commencé par l’exploitation de vulnérabilités. D’autres méthodes initiales d’attaques communes comprenaient la compromission de comptes et les emails malveillants.
Kaspersky Logo