Prédictions de menaces pour 2023 de la ligne de front de sécurité de Barracuda
Il est difficile de prédire l'avenir, mais vous pouvez anticiper ce qui risque de se produire en examinant les tendances prédominantes et émergentes de cette année. Dans le cadre de notre prévision des menaces pour 2023, Barracuda s'est tourné vers les professionnels de la sécurité en première ligne et les a interrogés sur les situations dont ils ont été témoins en 2022 et auxquelles ils s'attendent en 2023. Qu'est-ce qui les a le plus surpris, et quels sont les risques que les entreprises sous-estiment ou surestiment et qui pourraient compromettre leur sécurité l'année prochaine ?
Q : Qu'est-ce qui vous a le plus surpris en 2022 et qui fera écho en 2023 et par la suite ?
Les chaînes d'approvisionnement en logiciels vulnérables, les réseaux sociaux militarisés, les abus relatifs à l'authentification multifactorielle, l'ampleur des cyberattaques à motivation géopolitique et le « tout en tant que service »
Riaz Lakhani, responsable de la sécurité informatique (CISO) chez Barracuda : ce qui m'a le plus surpris, c'est le nombre de bibliothèques logicielles tierces très populaires pour lesquelles des vulnérabilités majeures ont été signalées et le nombre de grandes entreprises qui ont été touchées parce qu'elles utilisaient ces bibliothèques, par exemple dans leurs applications.
Adam Kahn, vice-président des opérations de sécurité chez Barracuda XDR : cette année, pour la première fois, nous avons constaté des attaques par ransomware ciblées contre des individus en raison de leurs profils personnels sur les réseaux sociaux.
Shani Mahler, directrice de la gestion des produits, ingénierie, Barracuda XDR : à quel point les cyberattaques basées sur des critères d'influence s'intensifient. Les principales plateformes de réseaux sociaux semblent avoir peu d'intérêt à résoudre ce problème. Elles ne le font donc pas et les équipes de sécurité ne peuvent pas surveiller les opérations relatives à l'influence. Le travail du centre d'opérations de sécurité (SOC) consiste à surveiller les machines et les réseaux pour détecter les risques, et non pas à déterminer la manière dont les gens sont influencés afin de semer la pagaille. L'influence sur les réseaux sociaux est une cybermenace non surveillée et très efficace qui continuera à sévir en 2023.
Merium Khalid, Senior SOC Manager, sécurité offensive : le recours de plus en plus fréquent à l'authentification multifactorielle (MFA). Je pense que 2022 constitue l'année où nous avons compris que la MFA n'était pas la réponse à tous les problèmes de sécurité. De plus en plus de violations ont été signalées, soit en raison d'un abus de MFA, soit en raison de social engineering pour amener quelqu'un à divulguer ses codes MFA.
Stefan van der Wal, ingénieur-conseil système, sécurité des applications : ce ransomware est toujours problématique. Malgré les conséquences dévastatrices d'une telle attaque, certaines entreprises, en 2022, n'ont toujours pas pris les mesures appropriées en termes de prévention, de détection, de réponse et de récupération. Et ce, malgré les efforts de l'ensemble du secteur de la sécurité pour lutter plus facilement contre cette menace.
John Flatley, ingénieur-conseil système, sécurité des e-mails : à quel point les outils d'attaque sont devenus facilement accessibles et disponibles. Il existe des services d'abonnement qui offrent aux pirates tous ces services.
Stefan Schachinger, chef de produit, sécurité réseau : en 2022, les conflits géopolitiques nous ont rappelé que les cybermenaces n'ont pas de frontières et à quel point le monde est vulnérable aux cyberattaques. De nombreuses cybermenaces, dont les ransomwares, ont été conçues à l'origine pour gagner de l'argent, et non pour détruire la cible. Cette situation a basculé en 2022, lorsque des pays et des entreprises qui n'étaient pas directement impliqués dans des conflits sont soudainement devenus les victimes d'attaques menées (ou tolérées) par des États-nations, exécutées avec un niveau de sophistication jamais vu à des fins de perturbation et de parasitage. Notre degré de cybervulnérabilité à l'échelle mondiale a été difficile à assimiler, mais c'est une leçon importante, car il est peu probable que le risque diminue en 2023.
Dans ce contexte, quelles sont les principales tendances en matière de cybermenaces auxquelles les entreprises doivent se préparer en 2023 ?
Méthodes d'authentification exploitées, surfaces d'attaque en expansion, multiplication des menaces « zero-day », attaques de la chaîne logistique, attaques des sites web et des applications et vulnérabilité IoT
RL : le piratage de comptes continue de représenter une proie facile pour les pirates et un risque majeur pour les entreprises. Les attaques visant à déjouer l'authentification à deux facteurs et l'authentification multifacteur étant de plus en plus fréquentes, et les mots de passe à usage unique à durée limitée (TOTP) étant sensibles au social engineering, les spécialistes de la sécurité vont porter un nouveau regard sur les mesures d'authentification.
AK : en 2023, le nombre de surfaces d'attaque potentielles au sein des entreprises continuera d'augmenter car elles sont de plus en plus nombreuses à adopter des offres basées sur le cloud et des logiciels en tant que service. Heureusement, cette évolution s'accompagnera d'une prise de conscience croissante du fait que les cybermenaces sont réelles et évolutives et qu'elles nécessitent une surveillance et une réaction intelligentes, automatisées et en temps réel.
SM : en 2023, les entreprises devront être prêtes à être la cible de tout type de cybermenace, quels que soient leur taille et leur secteur d'activité.
MK : plus de vulnérabilités zero-day. En 2022, 21 000 CVE (nouvelles vulnérabilités) ont été enregistrées. Beaucoup d'entre elles ont été classées comme « critiques », et beaucoup ont été activement exploitées par les pirates. Les entreprises subissent des attaques sans avertissement et doivent disposer d'une équipe prête à appliquer des correctifs aux logiciels et à y remédier dès que possible.
SVDW : attaques contre les chaînes logistiques. 2022 a été l'année de l'attaque contre les chaînes logistiques, et elle a conduit davantage de pirates à chercher le maillon le plus faible pour attaquer les entreprises. Chaque entreprise fait des affaires avec d'autres, et personne ne veut jouer un rôle dans l'attaque d'une autre entreprise.
JF : la terrible triple menace que représentent le piratage de comptes e-mail, les ransomwares et les attaques d'applications web.
SS : la surface d'attaque s'étend à mesure que de nouveaux objets connectés sont ajoutés à l'infrastructure, que davantage de services cloud sont utilisés en conjonction avec l'edge computing et que le travail à distance se développe. Cela oblige les entreprises à repenser la sécurité. Pendant des années, le principal objectif de sécurité consistait à se prémunir contre une attaque initiale, en empêchant les malwares et les pirates de pénétrer nos réseaux. Désormais, nous devons également nous préparer à la possibilité d'une violation par quelque chose ou quelqu'un et à la manière dont nous allons réagir à ce moment-là.
Sommes-nous préparés à cela ? Quels sont les risques informatiques les plus susceptibles d'être sous-estimés par les entreprises en 2022 ?
Les pipelines de développement de logiciels vulnérables, la sensibilisation des employés à la sécurité, la sécurité des applications et la probabilité d'une attaque
RL : à quel point pirater des comptes est facile ; quels sont leurs actifs les plus précieux et où ils résident sur le réseau ; et à quoi ressemble leur surface d'attaque. De nombreuses entreprises sous-estiment également la nécessité de renforcer le pipeline CI/CD (intégration et livraison continues) pour la production automatisée de logiciels, du développement aux correctifs, en passant par le déploiement, etc. Le pipeline CI/CD comprend des composants sensibles tels que le code source, les référentiels de code d'application, les containers et les serveurs de développement, ce qui en fait une cible de choix pour les pirates.
SVDW : risques liés à la sécurité des applications. De nombreuses attaques ont désormais pour origine les applications, mais certaines entreprises ne sont pas conscientes de la nécessité d'être proactives en matière de sécurité. Les entreprises doivent interroger les fournisseurs sur les mesures de protection prises et évaluer la sécurité d'une application avant qu'un pirate informatique ne s'en charge pour elles.
SM : à quel point les employés sont sensibilisés à la sécurité. Les employés sont constamment ciblés par le phishing, le smishing et d'autres tactiques de social engineering. Cependant, la plupart des entreprises ne dispensent une formation de sensibilisation à la sécurité (SAT) à leurs employés qu'une fois par an.
MK : l'importance de la formation de sensibilisation à la sécurité. Une grande partie des violations et des failles de sécurité sont dues à la compromission des informations d'identification, et une meilleure formation peut grandement contribuer à remédier à ce problème.
JF : l'ampleur et l'accessibilité des types d'attaques susmentionnés et la facilité avec laquelle il est désormais possible d'utiliser les outils d'attaque.
SS : les entreprises et les gouvernements sous-estiment leurs risques d'être victimes d'une attaque ciblée et sous-estiment l'ampleur de l'impact de cette attaque. 2022 nous a fait prendre conscience de l'importance des entreprises individuelles pour l'économie et la société. Dans un monde connecté, les dépendances peuvent être profondes et les petits problèmes peuvent avoir des conséquences désastreuses. Par exemple, la compromission d'un seul système de documentation ou de facturation peut obliger les entreprises à interrompre leurs activités dans le monde entier, tandis qu'un réseau électrique hors service peut provoquer une panne nationale. Nous devons trouver des moyens plus efficaces de défendre les entreprises et les infrastructures, renforcer la résilience afin d'éviter les interruptions de service à grande échelle pour des raisons « dérisoires », et devenir capables de déjouer les attaques en cours.
Et quels sont les risques informatiques que les entreprises ont le plus tendance à surestimer ?
Attaques par force brute, violations de la conformité des données et leur degré de protection
MK : le risque encouru lors d'une attaque par force brute réussie. L'analyse des réseaux à la recherche de vulnérabilités est l'une des activités de surveillance ennemie les plus fréquentes que je vois dans les SOC. Si une entreprise a des actifs tournés vers l'extérieur en raison de ses besoins commerciaux, il est très probable qu'ils seront soumis à une attaque par force brute et à une analyse des vulnérabilités. Cependant, si une entreprise a mis en place des contrôles tels que le blocage de la localisation, le VPN et la MFA, la probabilité qu'une attaque par force brute se traduise par un risque de compromission est faible.
SVDW : risques de conformité au RGPD. Certaines entreprises ont établi des politiques très restrictives en matière de confidentialité des données. C'est une bonne chose, à moins que cela ne commence à entraver la réactivité de l'entreprise en ce qui concerne les données sans PII (informations personnelles identifiables). Cela peut signifier, par exemple, que les entreprises négligent les mesures de sécurité que le service de conformité considère comme un risque pour les données. Alors que le véritable risque est de ne pas lutter contre les risques liés à la sécurité de l'information en mettant en œuvre les systèmes qui y répondent.
SS : les entreprises surestiment leur niveau de protection, leur capacité à se défendre contre des pirates qui sont probablement déjà infiltrés, et elles surestiment l'impact positif de mesures et d'outils de sécurité isolés qui ne sont que faiblement ou pas du tout intégrés.
Comment adapter la sécurité en 2023 ?
L'IA, la sécurité des applications, les nouvelles méthodes d'authentification, l'automatisation, la surveillance humaine en temps réel 24 heures sur 24 et 7 jours sur 7, et les centres d'opérations de sécurité (SOC) en tant que service seront les moteurs de la cybersécurité en 2023
RL : les méthodes d'authentification existantes étant remises en question par les pirates, les praticiens de la sécurité doivent envisager des solutions alternatives, et nous nous attendons à ce que la technologie sans mot de passe et la technologie de clé de sécurité unique FIDO U2F (Universal 2nd Factor) suscitent beaucoup d'intérêt.
MK : à l'horizon 2023 et plus lointain, je vois le secteur technologique s'orienter vers la biométrie et les méthodes d'authentification sans mot de passe.
AK : l'utilisation grandissante de l'intelligence artificielle (IA) dans la détection des menaces, en particulier pour éviter les « faux positifs » qui accaparent une grande partie de l'attention des responsables de la sécurité, aura un impact considérable sur la sécurité. Il donnera la priorité aux alarmes de sécurité qui nécessitent une attention et une action immédiates. Les produits automatisés SOAR (Security Orchestration, Automation and Response) continueront à jouer un rôle de plus en plus important dans le triage des alarmes, et nous nous attendons à ce que de plus en plus d'entreprises investissent dans la recherche et la réponse aux menaces 24 heures sur 24 et 7 jours sur 7, en faisant appel à un SOC-en-tant-que-Service expert si elles ne disposent pas des ressources nécessaires en interne.
SS : les solutions de sécurité modernes qui privent les utilisateurs, les dispositifs, les services et les workloads de leur confiance implicite, quel que soit le lieu, deviendront la norme. Le « contexte » de qui, quoi, quand, où et comment deviendra un élément clé de la sécurité dans un monde où l'évaluation continue de la confiance zéro permettra de lutter contre des menaces toujours plus sournoises. En 2023, la simple détection et le blocage des événements malicieux ne suffiront plus. Vous devrez analyser et remédier à tout cela.
Abonnez-vous à Journey Notes
