Chaque année, le nombre total de cyberattaques et le coût des dommages liés aux ransomwares augmentent au niveau mondial. Microsoft a récemment indiqué que les tentatives d'attaques par mot de passe sont passées "d'environ 3 milliards par mois à plus de 30 milliards". Il est clair qu'une approche proactive pour atténuer les attaques basées sur l'identité est une bonne résolution pour la nouvelle année.
Pour vous aider à tirer le meilleur parti de votre planification de la détection et de la réponse aux menaces liées à l'identité (ITDR) cette année, nos experts en sécurité de l'identité ont noté trois tendances qui devraient s'accélérer en 2024 :
- Les acteurs de la menace vont intensifier les cyberattaques contre les infrastructures critiques, notamment dans les domaines de l'énergie, des soins de santé et de l'éducation.
- L'évolution des tactiques, des techniques et des procédures de lutte contre les menaces (TTP) rendra la sécurité des identités plus importante que jamais.
- La sécurité fondée sur l'identité continuera d'être un facteur essentiel de la sécurité et de la résilience opérationnelles.
Voici ce qu'il faut savoir sur ces tendances.
Tendance 1 : Attaques contre les infrastructures critiques basées sur l'identité
Vous souvenez-vous de l'époque où les cyberattaquants prétendaient éviter les hôpitaux et autres agences et organisations critiques ? Cette époque est révolue.
Prenons l'exemple du groupe de ransomware BlackCat/ALPHV qui s'est vengé de l'interruption de ses activités par le FBI à la fin de l'année dernière. Le groupe a informé ses affiliés de son programme de ransomware en tant que service (RaaS) : "Vous pouvez désormais bloquer les hôpitaux, les centrales nucléaires, n'importe quoi, n'importe où.
Quel est le moteur de cette tendance ?
Les tensions géopolitiques croissantes et la simple cupidité ont placé les infrastructures dans le collimateur des attaques basées sur l'identité.
Lorsqu'il s'agit du secteur public - unecatégorie qui comprend la police, les services médicaux d'urgence (EMS), les centres de traumatologie de niveau 1, l'eau, l'électricité, les aéroports, les ports et d'autres infrastructures critiques " toujours en service " - " les enjeux ne sont pas seulement calculés en termes de dollars et de bitcoins. Des vies humaines sont en jeu", déclare Jeff Pitts, directeur du secteur public de Semperis.
Les organisations fédérales, étatiques, locales et éducatives (SLED) aux États-Unis et dans le monde entier tirent la sonnette d'alarme.
L'examen annuel 2023 du National Cyber Security Center (NCSC) du Royaume-Uni a mis en évidence "les acteurs alignés sur l'État comme une nouvelle menace cybernétique émergente pour les infrastructures nationales critiques", notant que le "défi est mondial et systémique". Le problème est particulièrement préoccupant :
- Des pirates informatiques parrainés par l'État chinois s'attaquent aux infrastructures américaines
- Attaques DDoS et wiper contre l'Ukraine menées par les Russes
- Campagnes de spear-phishing contre des cibles gouvernementales et éducatives présentant un "intérêt" pour l'Iran.
- Cyberattaques nord-coréennes "prolifiques", y compris contre des organisations gouvernementales
Le réseau d'échange de renseignements Five Eyes, qui regroupe des responsables du renseignement des États-Unis, de Grande-Bretagne, du Canada, d'Australie et de Nouvelle-Zélande, a également averti qu'un groupe chinois parrainé par l'État et connu sous le nom de "Volt Typhoon" s'en prenait à des infrastructures essentielles, notamment dans les domaines des télécommunications, des transports et de l'éducation.
"Les opérateurs d'infrastructures critiques étant dans la ligne de mire de groupes parrainés par des États-nations, des attaques susceptibles d'avoir un impact sur une nation entière, voire sur le monde développé, sont à venir", déclare Gil Kirkpatrick, architecte en chef chez Semperis.
"Les organisations doivent se préparer à d'éventuelles cyberattaques contre les gouvernements et les exploitants d'infrastructures critiques telles que les centrales nucléaires, les réseaux électriques, les réseaux de télécommunications, les stations d'épuration des eaux usées, etc.
Les États-nations pourraient utiliser les cyberattaques pour compléter la guerre sur le terrain, en perturbant les infrastructures critiques ou les systèmes financiers...
Simon Hodgkinson, conseiller stratégique de Semperis
Simon Hodgkinson, ancien RSSI de bp et conseiller stratégique de Semperis, partage cet avis. "Les États-nations pourraient utiliser les cyberattaques pour compléter la guerre sur le terrain, en perturbant les infrastructures critiques ou les systèmes financiers, par exemple.
En outre, prévient-il, les "nations et organisations sanctionnées peuvent se tourner vers la cybercriminalité pour financer leurs activités - en attaquant des entreprises qui paieront des rançons ou en volant des crypto-monnaies".
Ce que vous pouvez faire
Heureusement, selon M. Kirkpatrick, "les secteurs public et privé deviennent de plus en plus résistants" aux attaques basées sur l'identité. L'accent mis sur l'ITDR est essentiel.
Par exemple, Active Directory, qui gère l'accès à pratiquement tous les utilisateurs et systèmes dans les environnements qui l'intègrent, est impliqué dans la majorité des cyberattaques. La sécurisation d'Active Directory est donc essentielle pour identifier et arrêter les attaquants avant qu'ils ne causent des dommages.
"Les services[d'infrastructure critique] sont vulnérables aux cyberattaques axées sur l'identité, généralement par l'intermédiaire de l'Active Directory", explique M. Pitts.
Les systèmes d'infrastructure critique reliés à un domaine Active Directory, en particulier les systèmes SCADA, doivent comporter une plate-forme spécialement conçue pour gérer les menaces qui pèsent sur Active Directory.
Jeff Pitts, directeur du secteur public, Semperis
"Les systèmes d'infrastructure critique reliés à un domaine Active Directory, en particulier les systèmes SCADA, doivent comporter une plate-forme spécialement conçue pour gérer les menaces qui pèsent sur Active Directory", explique M. Pitts. "Et les opérateurs de ces systèmes doivent être en mesure de récupérer Active Directory en quelques heures, et nonen quelques jours, en cas de cyberattaque paralysante.
Tendance 2 : évolution des méthodes d'attaque basées sur l'identité
La plupart des organisations reconnaissent la nécessité d'une protection des points d'extrémité, d'une authentification multifactorielle (MFA) et d'une formation des utilisateurs. Après tout, les attaquants privilégient le phishing et l'ingénierie sociale pour s'introduire dans les environnements des victimes.
Mais les acteurs de la menace ne sont rien si ce n'est inventifs. Alors que de plus en plus d'organisations utilisent l'AMF ou refusent de payer la rançon, les attaquants développent de nouveaux moyens d'échapper aux défenses et de faire des ravages par le biais d'attaques basées sur l'identité.
Par exemple, le groupe BlackCat a récemment déposé une plainte contre l'une de ses victimes présumées auprès de la Securities and Exchange Commission (SEC), affirmant que l'entreprise avait été victime d'une violation, puis utilisant la plainte pour exercer une pression supplémentaire en vue d'obtenir un paiement ou comme un coup de semonce pour les futures cibles.
Quel est le moteur de cette tendance ?
Ce comportement "n'est pas surprenant dans l'économie en constante évolution des ransomwares", déclare Sean Deuby, technologue principal chez Semperis et animateur du podcast sur la protection de l'identité hybride (HIP). Les attaques de type "MFA fatigue", par exemple, sont montées en flèche à mesure que de plus en plus d'organisations déploient le MFA. Sean Deuby s'attend à un comportement plus "créatif" de la part des attaquants en 2024.
Même les utilisateurs les plus sensibilisés à la sécurité peuvent désormais se faire piéger par des tentatives d'hameçonnage incroyablement bien conçues.
Guido Grillenmeier, technologue principal, Semperis
"Pour prédire ce que les cybercriminels vont inventer, il suffit de suivre cette recette simple", conseille M. Deuby. "Maximisez le profit tout en minimisant le temps et les efforts, supprimez toute moralité et ajoutez une pincée d'évitement de la surveillance gouvernementale."
Les nouvelles technologies ont également influencé l'évolution des méthodes d'entrée initiales des attaquants, explique Guido Grillenmeier, technologue principal chez Semperis.
"L'intelligence artificielle permet aux cybercriminels de créer des campagnes de phishing de plus en plus sophistiquées et convaincantes qui jouent avec les émotions des utilisateurs. Même les utilisateurs les plus sensibilisés à la sécurité peuvent désormais se faire piéger par des tentatives d'hameçonnage incroyablement bien conçues".
Ce que vous pouvez faire
Pour lutter contre l'évolution des TTP, nos experts ont un conseil simple à donner : Revenir à l'essentiel.
"Les principaux points faibles utilisés par les attaquants n'ont pas changé au fil des ans et sont toujours exploités avec succès", note M. Grillenmeier. "Prenons l'exemple d'Active Directory, le principal service d'identité de Microsoft. Les attaquants utilisent Active Directory pour obtenir des privilèges d'utilisateur et pénétrer plus profondément dans le réseau de leur victime."
M. Grillenmeier attend avec impatience la prochaine version de Windows Server 2025, qui promet d'introduire des fonctions de sécurité supplémentaires dans Active Directory. "Il est bon de voir que l'on met davantage l'accent sur la protection de l'identité", déclare-t-il.
Les attaquants utilisent Active Directory pour obtenir des privilèges d'utilisateur et pénétrer plus profondément dans le réseau de leur victime.
Guido Grillenmeier, technologue principal, Semperis
En attendant, la sécurité de l'identité d'abord n'a pas besoin d'être onéreuse. Les organisations peuvent commencer par télécharger un outil gratuit d'audit d'Active Directory tel que Purple Knightqui analyse rapidement l'environnement Active Directory hybride (y compris Entra ID et Okta) et fournit une liste facile à comprendre des vulnérabilités potentielles et des indicateurs de compromission (IOC).
Tendance 3 : résilience opérationnelle et sécurité axée sur l'identité
Notre troisième tendance découle des deux premières. Avec la sophistication croissante des cyberattaques et le désir grandissant de cibler les infrastructures, les acteurs de la menace qui étaient autrefois limités aux menaces informatiques se tournent vers les technologies opérationnelles (OT) et les chaînes d'approvisionnement. L'objectif est de passer inaperçu suffisamment longtemps pour perturber les opérations.
Quel est le moteur de cette tendance ?
Traditionnellement, les équipes informatiques et techniques ont des objectifs et des domaines d'intervention distincts.
"Les professionnels de la cybersécurité informatique se concentrent d'abord sur la sécurité informatique", a récemment déclaré M. Hodgkinson à Cyber Magazine. "Ils veulent protéger les informations contre le vol, empêcher l'accès non autorisé aux systèmes informatiques et mettre fin aux attaques de phishing contre leurs utilisateurs. Les ingénieurs en technologie de l'information sont moins concernés par ces questions. Ils se concentrent plutôt sur les contrôleurs et les capteurs qui affectent les processus et les systèmes physiques.
"En tant que tels, ils sont préoccupés par le temps de fonctionnement, la sécurité physique et la sûreté. [L'un des obstacles pour les praticiens de la sécurité est de combler le fossé culturel avec les ingénieurs en technologies de l'information".
La tristement célèbre attaque de Colonial Pipeline en 2021 est un premier exemple du type d'attaque croisée que les experts s'attendent à voir se multiplier en 2024. (Il s'agit également d'un indicateur précoce de l'évolution des attaquants vers les infrastructures critiques).
Ce que vous pouvez faire
"Il est vital que les opérateurs d'infrastructures nationales critiques prennent des mesures pour empêcher les attaquants de se cacher dans leurs systèmes", a déclaré Paul Chichester, directeur du NCSC, l'année dernière.
Selon M. Deuby, la première étape consiste à "identifier les systèmes critiques, y compris les infrastructures telles que Active Directory, avant que les attaques ne se produisent, et à renforcer la résilience de ces systèmes".
Identifiez vos systèmes critiques - y compris l'infrastructure telle que Active Directory - avant que les attaques ne se produisent.
Sean Deuby, technologue principal, Semperis
La segmentation du réseau et la hiérarchisation administrative sont également des étapes importantes. M. Deuby recommande d'isoler les systèmes informatiques et d'authentification des systèmes de contrôle des processus, et de veiller à ce que ces deux groupes de systèmes utilisent chacun des informations d'identification uniques.
Mickey Bresman, PDG de Semperis, souligne que la résilience de l'infrastructure d'identité est la clé de la résilience opérationnelle globale. Après tout, les attaquants tentent presque toujours d'envahir l'infrastructure d'identité dans le but d'escalader les privilèges et d'obtenir un accès élevé.
"Quelle est la différence entre une entreprise qui rebondit dans un délai relativement court après une attaque liée à l'identité et une entreprise dont le rétablissement s'éternise pendant des jours ou des semaines, entraînant des coûts considérables pour l'organisation ? D'après mon expérience directe, j'ai conclu que la plus grande différence réside dans la capacité de l'organisation à orchestrer, automatiser et tester le processus de récupération."
La connaissance, c'est le pouvoir
La connaissance des tendances en matière de cybersécurité ainsi que du comportement et des motivations des attaquants peut vous aider à élaborer une stratégie de défense cybernétique et opérationnelle solide pour repousser les attaques basées sur l'identité. Se préparer au pire n'est pas de la paranoïa, c'est une démarche intelligente et nécessaire.
Vous avez besoin d'aide pour élaborer votre stratégie ? Notre équipe Breach Preparedness & Response Services peut vous aider.
