Barracuda full logo

L'adaptation en continu : comment les attaquants et les défenseurs apprennent les uns des autres

Thèmes:
8 juin 2023
|
Adam Khan

Depuis plus de 30 ans, les cyberattaquants et les équipes de sécurité s'affrontent dans le monde numérique, les uns cherchant des failles à cibler, les autres tentant de les corriger et les protéger. Le rythme de la bataille s'accélère. Aujourd'hui, il existe plus de 1 milliard de programmes malveillants connus. Parmi ceux-ci, 94 millions sont apparus au cours des 12 derniers mois. En 2009, il y en avait 25 millions par an.

Pour marquer le 20e anniversaire de Barracuda, nous avons voulu retracer l'évolution des cyberattaques et de la cybersécurité depuis nos débuts en 2003, et proposer nos prévisions pour les années à venir.

Le contexte en 2003

Les cybermenaces et la cybersécurité permettant de s'en défendre ont émergé au milieu des années 1980. Certains se souviendront du virus Cascade en 1987/1988, du ver Morris en 1988, du virus Melissa en 1999, pour n'en citer que quelques-uns.

En 2003, les cybermenaces avaient commencé à se diversifier et à se multiplier, mais les attaques restaient largement fragmentées, perturbatrices et souvent opportunistes. Les virus, les vers et autres logiciels malveillants ont profité de l'essor d'Internet dans les entreprises mais ne faisaient pas vraiment partie de campagnes d'attaques et de cybercrime organisé. Les attaques ciblaient les ordinateurs portables et les ordinateurs de bureau et recherchaient des failles dans le périmètre d'accès contrôlé et défini.

Le marché de la cybersécurité correspondant était axé sur la recherche et la détection de logiciels malveillants connus par leurs signatures et sur le blocage des spams, des virus et des attaques Web de base. Le système de détection de signatures statiques a plus tard été complété par une détection heuristique (détection des virus en examinant le code pour rechercher des propriétés suspectes) conçue pour repérer le nombre croissant de variantes de malwares inconnues.

Mais le premier téléphone BlackBerry compatible push allait sortir en 2002, libérant ainsi les employés et les données des limites traditionnelles du bureau. Il ne fallut pas longtemps avant que d'autres appareils, technologies et applications suivent le mouvement et que tout change à jamais.

L'évolution du paysage des cybermenaces et de la cybersécurité

2009

En 2009, les appareils mobiles, les services et les logiciels envahissaient le monde des affaires. Le périmètre de sécurité s'étirait de plus en plus loin, et les pirates s'organisaient. La fraude financière, le phishing, les ransomwares, les logiciels espions, les botnets et le déni de service (DoS et DDoS) ont rejoint l'écosystème des cybermenaces, sans jamais en repartir. Certaines tactiques d'attaque signalées pour la première fois au cours de cette période, telles que l'injection SQL, sont toujours utilisées aujourd'hui.

Pour faire face à des charges de travail numériques plus importantes et plus variées, les machines virtuelles (VM) et la virtualisation sont devenues des composants à part entière des réseaux informatiques. Il peut être plus difficile de suivre les charges de travail et les applications dans un environnement virtualisé lors de la migration entre les serveurs, ce qui rend plus difficile la surveillance des politiques et des configurations de sécurité. Les machines virtuelles sous-protégées peuvent être ciblées par des logiciels malveillants et, une fois infectées, peuvent diffuser des malwares sur l'ensemble de l'infrastructure virtuelle. La virtualisation offrait également certains avantages en matière de sécurité. Si une VM est isolée du réseau étendu, elle peut être utilisée pour l'analyse des malwares, les tests d'intrusion et les tests de scénarios.

2012

L'ère des ransomwares modernes était arrivée. Les attaques sur le Web et le social engineering se sont généralisés, et les attaques menées par des groupes soutenus par les États et des haktivistes se sont multipliées.

Dans le même temps, la nécessité pour les entreprises de disposer d'une sécurité évolutive, accessible, pouvant être mise à jour en temps réel et n'épuisant pas les ressources, a conduit la sécurité vers le cloud et les modèles de consommation sous forme de service (SaaS). Les entreprises ont également cherché des solutions de sécurité capables de stocker et de protéger leur volume croissant d'actifs hébergés dans le cloud et de renforcer la sécurité des e-mails pour lutter contre les attaques par e-mail de plus en plus sophistiquées.

2016

Au fil de la décennie, les cyberattaques sont devenues plus prolifiques et destructives. Les systèmes connectés (IoT) et les environnements informatiques cloud hybrides/sur site sont devenus courants, offrant aux attaquants une surface d'attaque plus large et de nouveaux points faibles à cibler et à exploiter. Les pirates utilisaient des logiciels malveillants sans fichier et des outils informatiques légitimes ou intégrés pour contourner les mesures de sécurité et de détection.

Les compétences et les ressources nécessaires pour sécuriser l'environnement numérique complexe contre de telles menaces ont submergé de nombreuses entreprises, qui se sont de plus en plus tournées vers des fournisseurs de services gérés pour obtenir une aide externe. Les services de sécurité sont devenus plus flexibles, disponibles sur les grands marketplaces en ligne et auprès d'autres prestataires de services. Ils pouvaient ainsi être achetés et configurés en l'espace de quelques minutes.

2017 fut une année déterminante pour les cybermenaces et la cybersécurité. C'est cette année-là que le puissant outil d'exploitation ciblant le protocole SMB, EternalBlue a été divulgué et l'année de deux attaques à l'impact mondial phénoménal : WannaCry et NotPetya.

2023

Aujourd'hui, nous assistons à l'évolution de l'Internet des Objets vers le tout connecté (IoE, Internet of Everything). L'intégration et la visibilité de la sécurité peinent à suivre le rythme, ce qui entraîne des failles de sécurité que les attaquants sont prompts à cibler et à exploiter.

Les attaquants comme les défenseurs exploitent l'IA et le machine learning. Les premiers pour concevoir des attaques de social engineering et des logiciels malveillants toujours plus convaincants, les seconds pour développer des outils de sécurité toujours plus intelligents afin de les détecter et de les bloquer.

Les outils et l'infrastructure des logiciels malveillants étant largement disponibles sous forme de services, les cyberattaques sont à la portée d'un plus grand nombre de criminels, ce qui favorise la propagation des ransomwares, de l'extorsion et plus encore. Les entreprises qui comportent beaucoup d'utilisateurs, d'appareils, d'applications et de données sont dans leur ligne de mire, et les attaques vont bien plus loin que le périmètre traditionnel.

La sécurité s'est adaptée, sous la forme de plateformes de sécurité réseau de bout en bout, provenant d'un seul fournisseur, qui protège la périphérie. C'est l'avènement du SASE (Secure Access Service Edge), avec des contrôles d'accès basés sur le Zero Trust, les renseignements sur les menaces, la réponse aux incidents et des centres SOC disponibles 24h/24, 7j/7.

La guerre russo-ukrainienne qui a commencé en 2022 a également rappelé au monde à quel point les tactiques de cyberattaque, telles que les attaques DDoS, les « wipers » et plus encore, peuvent servir d'arme cyber en période de tension géopolitique.

2028

Que nous réserve l'avenir ?

Alors que nous approchons de la deuxième moitié de la décennie, nous savons que les périmètres de sécurité sont voués à disparaître. De plus, les attaques ont des conséquences plus catastrophiques qu'avant, tout simplement parce que nous sommes devenus dépendants de vastes systèmes numériques et d'infrastructures interconnectés. La sécurité doit être profondément intégrée à ces systèmes.

Nous nous attendons à ce que l'adoption généralisée de l'IA se poursuive, ce qui aura des répercussions importantes pour les entreprises, la société et la stabilité géopolitique. L'IA permettra aux SOC de devenir intuitifs et réactifs, en accélérant la détection, la compréhension et l'atténuation des incidents complexes.

D'ici la fin de la décennie, l'informatique quantique devrait devenir commercialement viable, avec des implications dans tous les secteurs, du développement de médicaments aux marchés financiers, en passant par le changement climatique et les prévisions météorologiques. L'informatique quantique aura également un impact significatif sur la cybersécurité, notamment sur la capacité à déchiffrer les chiffrements traditionnels.

Conclusion

La cybersécurité est un parcours. En passant en revue les 20 dernières années, nous constatons que les attaquants et les équipes de sécurité se sont adaptés en continu au contexte et les uns aux autres. Ces deux parties étant à la fois une cause et un résultat du changement. Au cours des prochaines années, les changements ne feront qu'accélérer. Il y aura de nouvelles vulnérabilités et de nouvelles menaces, ainsi que des tactiques et des vulnérabilités vieilles de plusieurs décennies. Une chose est sûre, la sécurité doit être prête à tout affronter.

Adam Khan

Adam Khan est vice-président international des opérations de sécurité chez Barracuda MSP. Il dirige actuellement une équipe de sécurité internationale composée de membres très qualifiés des Blue, Purple et Red teams. Auparavant, il a travaillé plus de 20 ans pour des entreprises telles que Priceline.comBarnesandNoble.com, et Scholastic. L'expérience d'Adam est axée sur l'automatisation et la sécurité des applications/infrastructures. Il est passionné par la protection des PME contre les cyberattaques, PME qui sont le moteur de l'innovation aux États-Unis.

Billets associés :
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
 Malware Brief : hameçonnage sophistiqué, BYOVD et RAT Android
Malware Brief : hameçonnage sophistiqué, BYOVD et RAT Android
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.