Mandiant , filiale de Google Cloud, publie les conclusions de son rapport M-Trends 2024. Ce rapport annuel, désormais dans sa 15e année, fournit une analyse experte des tendances basée sur les enquêtes et remédiations de Mandiant sur les cyberattaques de première ligne menées en 2023. Le rapport 2024 montre que les entreprises ont considérablement amélioré leurs capacités défensives, identifiant les activités malveillantes qui les affectent plus rapidement qu’au cours des années précédentes. Le rapport se penche également sur les acteurs et les campagnes de menaces notables, offrant un aperçu ciblé sur l’activité des menaces par région.

Le temps d’exposition médian à l’échelle mondiale atteint son point le plus bas

Alors que l’utilisation d’exploits Zero-Day est en hausse, le rapport M-Trends 2024 révèle une amélioration significative de la posture mondiale en matière de cybersécurité. Le temps d’exposition médian mondial - le temps pendant lequel les attaquants restent indétectés dans un environnement cible - a atteint son point le plus bas depuis plus d’une décennie. En 2023, les organisations ont détecté les intrusions dans un délai médian de 10 jours, ce qui représente une baisse notable par rapport aux 16 jours de 2022. La réduction des délais est probablement due à une plus grande proportion d’incidents de ransomware en 2023 (23 %) par rapport à 2022 (18 %). Mandiant a également constaté une amélioration de la détection interne des compromissions en 2023 (46 %), contre 37 % en 2022. Ces deux tendances - des temps d’attente plus courts et un plus grand nombre d’événements détectés en interne - suggèrent que les défenseurs ont globalement amélioré leurs capacités de détection.

Temps d’exposition par région

Un examen plus approfondi révèle que le temps d’exposition median varie selon les régions. Les organisations de la région Asie-Pacifique (JAPAC) ont connu la baisse la plus spectaculaire, réduisant leur durée médiane à 9 jours, contre 33 jours en 2022. À l’inverse, la région EMEA (Europe, Moyen-Orient et Afrique) a connu une légère augmentation du temps d’attente, qui est passé de 20 à 22 jours. Cette légère variation pourrait être le résultat d’une normalisation des données régionales suite à la part importante du travail de Mandiant en Ukraine en 2022.

Ciblage par secteur d’activité

Le rapport M-Trends 2024 met en évidence les principales tendances en matière de ciblage des industries par les cyberattaquants. Mandiant a le plus souvent répondu à des intrusions dans des organisations de services financiers (17%) en 2023. Suivent les services commerciaux et professionnels (13 %), la haute technologie (12 %), la vente au détail et l’hôtellerie (9 %), et les soins de santé (8 %).

Les industries les plus ciblées ont en commun la possession d’une grande quantité d’informations sensibles, notamment des données commerciales exclusives, des informations personnelles identifiables, des informations de santé protégées et des dossiers financiers. Cela en fait des cibles particulièrement attrayantes pour les attaquants qui cherchent à exploiter ce type de données sensibles.

Parmi les autres points à retenir du rapport, citons

– L’accent mis sur l’évasion : Afin de persister le plus longtemps possible sur les réseaux, les attaquants ciblent de plus en plus les appareils périphériques, en utilisant des techniques de survie et en exploitant des vulnérabilités de type Zero Day.

– Intensification des efforts d’espionnage par les acteurs liés à la Chine : Les groupes d’espionnage de la Chine du Nord continuent d’accorder la priorité à l’acquisition d’exploits de type Zero Day et d’outils spécifiques aux plates-formes. Ils cibleront probablement les appareils et les plates-formes de pointe dotés de solutions de sécurité minimales, car il est plus facile de les compromettre sans être détecté et pendant une période plus longue.

– Les exploits de type Zero Day en pleine expansion : les exploits de type Zero Day ne sont plus l’apanage d’un petit nombre d’acteurs sélectionnés. La tendance à l’augmentation de leur disponibilité devrait se poursuivre en raison de facteurs tels que les ransomwares et les groupes d’extorsion de données qui les utilisent, la poursuite de l’exploitation parrainée par les États et l’augmentation des kits d’exploitation « clés en main » disponibles dans le commerce. Pour en savoir plus sur la manière dont les acteurs de la menace utilisent les Zero Day, consultez le tout premier rapport conjoint de Mandiant et Google Threat Analysis Group sur le sujet.

– Le ciblage de l’informatique dématérialisée s’aligne sur l’adoption : L’adoption de l’informatique dématérialisée s’accompagne d’un ciblage des attaquants sur ces environnements, y compris les configurations hybrides entre l’informatique dématérialisée et l’informatique sur site. Il est conseillé aux entreprises de mettre en place des contrôles plus stricts afin de limiter l’accès aux ressources en cloud aux seuls utilisateurs autorisés.

– Potentiel des équipes rouges avec les grands modèles de langage (LLM) et l’IA : comme d’autres professionnels de la cybersécurité, les équipes rouges peuvent tirer parti des LLM et de l’IA dans leur travail. Les cas d’utilisation pourraient impliquer que les équipes rouges génèrent des données pour l’entraînement des modèles tandis que les développeurs d’IA trouvent des moyens de sécuriser l’accès aux modèles entraînés. Cette synergie pourrait considérablement renforcer l’efficacité des équipes rouges et améliorer la préparation des organisations face aux cybermenaces.

– Évolution des tactiques de contournement de l’authentification multi-facteurs : Alors que l’authentification multi-facteurs devient une pratique courante, les attaquants développent des méthodes pour contourner les protections qu’elle offre. Une tendance préoccupante est l’augmentation des pages de phishing de proxy web et d’adversaires au milieu (AiTM) qui volent les jetons de session de connexion, contournant ainsi le MFA.