Almond, entreprise française de référence de la cybersécurité et de la performance des systèmes d’information, publie son premier rapport « Threat Landscape » qui analyse les nouveaux modes d’action des cybercriminels, les menaces qu’ils font peser sur les organisations, et les moyens qu’elles doivent mettre en œuvre pour se défendre.

Une année 2022 très intense

En janvier 2022, un sous-traitant de la Croix-Rouge était victime d’une attaque qui a exposé les données de 515 000 personnes. En mars, l’Assurance-Maladie subissait une agression entrainant la violation des données médicales de 510 000 Français. En juillet, La Poste Mobile était victime d’un rançongiciel et contrainte de fermer son site temporairement mais les données personnelles de 500 000 clients ont été affectées par une perte de confidentialité. Ces quelques exemples témoignent de l’intense activité des cybercriminels au cours de l’année 2022. Quatre « Threat Actors », Lockbit Gang (2.0 et 3.0), ALPHV, Conti et Hive représentent 50% des attaques et opèrent des « rançongiciels as a service » ou des « malware as a service ». Les Threat Actor qui sont à la tête de cette « industrie » du rançongiciel sont majoritairement issus d’Europe de l’Est et de Russie, à l’image du groupe Conti.

Une menace qui ne vient pas systématiquement de l’Est…

Pour autant les données montrent que les affiliés exploitant ses rançongiciels sont localisés partout dans le monde, parfois à portée de la justice. Les succès régulièrement enregistrés par les autorités dans l’arrestation d’opérateurs sur le sol européen démontrent l’intérêt d’engager les forces de l’ordre.

A ce titre, Almond rappelle toutes les bonnes raisons de déposer une plainte auprès des forces de gendarmerie ou de police, qui ont fait d’importants efforts pour simplifier cette procédure, accompagner au mieux les victimes, identifier, localiser, et interpeller les criminels, pour les remettre à la justice.

Le rapport d’Almond explique également que si la menace rançongiciel vient majoritairement de pays russophones, elle n’est pas exclusivement russe, comme de nombreuses publications le laissent croire – volontairement ou non. L’ambition de l’équipe Cyber Threat Intelligence Almond : apporter un traitement résolument européen et français du renseignement cyber.

… et qui ne se limite pas aux rançongiciels

Les équipes Cyber Threat Intelligence Almond rappellent que si la menace rançongiciel est bien réelle pour toutes les organisations, et si elle a grandement contribué à la prise de conscience – dans la douleur – du risque cyber par tous les décideurs, elle ne doit pas pour autant éclipser l’intense activité offensive poursuivant des objectifs plus discrets : espionnage, déstabilisation, pré-positionnement stratégique. Le Threat Landscape Almond éclaire une partie de ces menaces qui restent dans l’ombre.

Les experts Almond livrent leur première analyse d’un an de conflit entre l’Ukraine et la Russie sur le plan cyber. L’Armageddon cyber craint et annoncé n’a pas eu lieu et, si les opérations de lutte informatique offensive sont très intenses de part et d’autre, cette guerre a déjà délivré plusieurs enseignements. D’abord qu’il est souvent plus facile, dans un conflit à haute intensité, de détruire une infrastructure par un missile ou des drones qu’en la hackant. Ensuite, qu’il est possible de backuper rapidement un pays dans le cloud pour mettre hors de portée physique des actifs sensibles. Et enfin que la communication de crise est un art très utile.

Les opérations de surveillance effectuées par Almond montrent qu’une part significative des incidents de sécurité, en particulier les plus graves pour les victimes, ont démarré non plus par un mail malveillant, mais par l’exploitation d’une vulnérabilité, régulièrement sur un équipement de sécurité (en particulier sur des passerelles VPN vulnérables), pour obtenir un accès initial au système d’information. La gestion des vulnérabilités et le choix de produits sûrs, idéalement évalués par un CESTI, sont donc clés.

Investir pour s’adapter

Pour les experts d’Almond, l’innovation offensive continue de faire monter la pression sur les opérations défensives, ce qui pose la question de l’équilibre entre le coût de ces investissements et ceux de la prise de risque. Parmi les facteurs les plus déterminants dans la défense se trouve l’impératif de réactivité, pour suivre le rythme d’opérations qui ressemblent de plus en plus à des braquages en mode « go very fast ». Le deuxième facteur déterminant est l’obligation de gérer des volumes de plus en plus importants d’alertes, du fait de l’augmentation de la taille des systèmes d’information et de la capacité de détection à mettre en jeu pour couvrir un maximum de techniques d’attaque. Ces deux impératifs de réactivité et de volume de données à traiter demandent des réponses différentes sur l’ensemble des piliers d’un dispositif de détection : les moyens humains, les process et les technologies.

Pour sa part, Almond a choisi de répondre par l’innovation et l’investissement dans l’expertise des femmes et des hommes au cœur des opérations cyber sécurité et dans les process et technologies qui tirent le maximum de gain d’efficience des concepts DevSecOps, des SOAR (Security Orchestration, Automation and Response) et généralement de l’automatisation. La dernière partie du « Threat Landscape » éclaire d’ailleurs certains des investissements à réaliser en 2023 pour rester "dans la course".