Trace Id is missing

Anatomie d’une surface d’attaque moderne

Six domaines à gérer pour les organisations

À mesure que le monde devient plus connecté et plus numérique, la cybersécurité devient plus complexe. Les organisations migrent plus d’infrastructure, de données et d’applications vers le cloud, autorisent le télétravail et collaborent avec des écosystèmes tiers. En conséquence, les équipes de sécurité doivent maintenant défendre un environnement plus grand et plus dynamique, ainsi qu’un ensemble étendu de surfaces d’attaque.

Les acteurs de la menace profitent de cette complexité en exploitant les failles dans les protections et les autorisations d’une organisation et en procédant à des attaques volumétriques incessantes. Les attaques sont souvent multifacettes et englobent plusieurs éléments des opérations et de l’infrastructure d’une organisation. Les attaquants deviennent aussi plus coordonnés dans un paysage toujours plus vaste de cybercriminalité en tant que service. En 2022, la DCU (Digital Crimes Unit) de Microsoft a bloqué 2 750 000 inscriptions à des sites pour devancer des acteurs criminels qui avaient planifié de les utiliser pour se livrer à un cybercrime global.1

Se tenir informé des menaces actuelles permet de sécuriser chaque surface d’attaque principale, notamment l’e-mail, les identités, les points de terminaison, l’IoT (Internet des objets), le cloud et les éléments externes. D’un point de vue sécuritaire, vous n’êtes pas plus fort que vos maillons les plus faibles – et les attaquants font de plus en plus de progrès pour les trouver. La bonne nouvelle, c’est que la plupart des menaces peuvent être stoppées en mettant en place des mesures de sécurité simples. En effet, nous avons constaté qu’une hygiène de sécurité de base continue de protéger contre 98 % des cyberattaques.2

Une visibilité complète des menaces est fondamentale pour une bonne hygiène de sécurité. Une veille des menaces efficace donne aux équipes de sécurité une vue complète du paysage des menaces afin de leur permettre de garder une longueur d’avance sur les menaces émergentes et de perfectionner sans cesse leurs défenses. Lorsque des acteurs de la menace réussissent à trouver un accès, une veille des menaces holistique est essentielle pour savoir ce qui s’est passé afin que cela ne se reproduise pas.

Ci-dessous, nous allons parler des tendances et des défis des menaces dans six principales surfaces d’attaque d’une organisation : e-mail, identités, points de terminaison, IoT, cloud et éléments externes. Vers la fin, nous reviendrons sur la façon dont une bonne veille des menaces peut faire pencher la balance et donner aux équipes de sécurité un solide avantage.

Pour la plupart des organisations, l’e-mail est un élément essentiel des opérations quotidiennes de l’entreprise. Malheureusement, l’e-mail reste un vecteur de menace majeur. 35 % des incidents de ransomware en 2022 impliquaient l’utilisation de l’e-mail.4 Les attaquants n’ont jamais livré autant d’attaques d’e-mail – en 2022, le taux d’attaques par hameçonnage a augmenté de 61 % comparé à 2021.5

Maintenant, les attaquants tirent aussi profit de ressources légitimes pour mener des attaques par hameçonnage. Cela devient encore plus difficile pour les utilisateurs de distinguer les vrais e-mails des faux, ce qui augmente la probabilité qu’une menace passe au travers. Les attaques par consentement illustrent un exemple de cette tendance, où les acteurs de la menace se font passer pour des fournisseurs de services cloud légitimes et trompent les utilisateurs en leur demandant de leur accorder des autorisations pour accéder à des données confidentielles.

Sans la capacité de mettre en corrélation des signaux dans l’e-mail avec des incidents de plus grande envergure pour visualiser les attaques, détecter un acteur de la menace qui a trouvé un accès via l’e-mail peut prendre du temps. Et il risque d’être trop tard pour éviter des dommages. La durée moyenne nécessaire à un attaquant pour accéder aux données privées d’une organisation est de 72 minutes.6 Cela peut entraîner de sérieuses pertes au niveau de l’entreprise. La compromission de messagerie d’entreprise (BEC) a coûté environ 2,4 milliards USD de pertes ajustées en 2021.7

En plus des protections comme la vérification des URL et la désactivation des macros, la sensibilisation des employés est essentielle pour empêcher les menaces d’avoir un impact. Simulations d’e-mails d’hameçonnage et manuels d’instruction expliquant comment identifier du contenu malveillant (même s’il paraît légitime) sont des mesures de sécurité préventive indispensables. Nous prévoyons que les acteurs de la menace vont continuer à améliorer la qualité du piratage psychologique dans leurs attaques d’e-mail en tirant profit de l’IA et d’autres outils pour améliorer la force de persuasion et la personnalisation des e-mails malveillants. Et ce n’est qu’un exemple. Comme les organisations répondent de mieux en mieux aux menaces par e-mail actuelles, les menaces vont continuer à évoluer.

Avec l’omniprésence du cloud dans le monde actuel, la sécurisation des accès n’a jamais joué un rôle aussi important. C’est pourquoi il est vital d’avoir une compréhension approfondie des identités de l’ensemble de votre organisation, notamment les autorisations des comptes d’utilisateur, les identités de charge de travail et leurs vulnérabilités potentielles , d’autant plus que les attaques sont de plus en plus nombreuses et imaginatives.

Le nombre d’attaques par mot de passe a été estimé à 921 attaques toutes les secondes en 2022 – une hausse de 74 % comparé à 2021.8 Chez Microsoft, nous avons également vu des acteurs de la menace se montrer plus inventifs pour contourner l’authentification multifacteur (MFA) en utilisant des techniques, telles que les attaques par hameçonnage de type « adversary-in-the-middle » et le vol de jetons, pour gagner l’accès aux données des organisations. Les kits d’hameçonnage ont rendu encore plus facile le vol d’informations d’identification. La DCU (Digital Crimes Unit) de Microsoft a observé une augmentation de la sophistication des kits d’hameçonnage l’an dernier, accessibles sans trop d’obstacles – avec un vendeur qui les propose pour la modique somme de 6 USD par jour.9

La gestion de la surface d’attaque des identités ne se limite pas à la sécurisation des comptes d’utilisateur, elle englobe l’accès au cloud et les identités de charge de travail. Des informations d’identification compromises peuvent constituer un outil puissant pour les acteurs de la menace qui peuvent les utiliser pour semer le chaos dans l’infrastructure cloud d’une organisation.

Les attaquants arrivent fréquemment à accéder à des comptes tiers ou à d’autres comptes à hauts privilèges connectés à une organisation, puis utilisent ces informations d’identification pour infiltrer le cloud et voler des données. Bien que les identités de charge de travail (identités affectées à des charges de travail logicielles comme les applications pour accéder à d’autres services et ressources) soient souvent ignorées lors d’audits des autorisations, les informations d’identité masquées dans les charges de travail peuvent donner à un acteur de la menace l’accès aux données d’une organisation entière.

À mesure que le paysage des identités continue de s’étendre, il est à prévoir que les attaques ciblant les identités continueront de se développer aussi bien en nombre qu’en diversité. Cela signifie qu’une compréhension totale des identités et des accès reste primordiale.

Au vu du grand nombre d’appareils dans les environnements hybrides actuels, la sécurisation des points de terminaison est devenue plus compliquée. Ce qui n’a pas changé, c’est que la sécurisation des points de terminaison — en particulier les appareils non gérés — est indispensable à une posture de sécurité forte, dans la mesure où même une seule compromission peut donner aux acteurs de la menace un accès à votre organisation.

Comme les organisations ont adopté des stratégies BYOD (Bring Your Own Device), les appareils non gérés ont proliféré. Résultat, la surface d’attaque des points de terminaison est maintenant plus grande et plus exposée. En moyenne 3 500 appareils connectés dans une entreprise ne sont pas protégés par un agent de détection et de réponse de point de terminaison.11

Les appareils non gérés (qui font partie du paysage « Informatique fantôme ») sont particulièrement intéressants pour les acteurs de la menace, car les équipes de sécurité manquent de visibilité pour les sécuriser. Chez Microsoft, nous avons constaté que les utilisateurs ont 71 % plus de risques d’être infectés sur un appareil non géré.12 Étant donné qu’ils se connectent aux réseaux de l’entreprise, les appareils non gérés sont autant d’opportunités pour les attaquants de lancer des attaques plus vastes sur les serveurs et autre infrastructure.

Les appareils non gérés sont aussi des vecteurs potentiels pour les attaques de point de terminaison. En 2021, la Sécurité Microsoft a observé une attaque où un acteur de la menace a profité d’un serveur non corrigé, parcouru les répertoires et découvert un dossier de mots de passe donnant accès à des informations d’identification de compte.

L’attaquant s’est ensuite connecté à un grand nombre d’appareils de l’organisation pour collecter et exfiltrer des quantités importantes de données, y compris des données de propriété intellectuelle. Cela a probablement permis à l’attaquant de menacer de révéler ces informations si la rançon demandée n’était pas payée. Cette pratique est connue sous le nom de « double extorsion ». C’est un scénario inquiétant que nous avons vu plus souvent au cours de l’année dernière.13 Et même si la rançon est payée, il n’y a aucune garantie que les données soient déchiffrées ni même rendues.

Avec un nombre de points de terminaison qui continue à grimper, les acteurs de la menace continueront sans nul doute à voir les points de terminaison (en particulier ceux qui ne sont pas gérés) comme des cibles attractives. C’est pourquoi une amélioration de la visibilité des points de terminaison et de l’hygiène de sécurité peut apporter aux organisations une valeur significative.

L’un des vecteurs d’attaque de point de terminaison les plus négligés est l’IoT (Internet des objets), qui compte des milliards d’appareils, petits et grands. La sécurité IoT englobe les appareils physiques qui se connectent aux données et qui les échangent avec le réseau, tels que les routeurs, les imprimantes, les appareils photos et autres appareils similaires. Elle peut aussi inclure les appareils opérationnels et les capteurs (technologie opérationnelle ou OT), tels que les équipements intelligents pour la fabrication de gammes de production.

Le nombre d’appareils IoT augmente, tout comme le nombre de vulnérabilités. D’ici 2025, IDC prévoit 41 milliards d’appareils IoT dans les entreprises et chez les particuliers.15 Étant donné que de nombreuses organisations durcissent les routeurs et les réseaux pour rendre plus difficiles leur violation par les acteurs de la menace, les appareils IoT deviennent des cibles plus faciles et plus attractives. Nous voyons souvent des acteurs de la menace exploiter des vulnérabilités pour convertir des appareils IoT en proxies, en utilisant un appareil exposé comme point d’appui sur le réseau. Une fois qu’un acteur de la menace arrive à accéder à un appareil IoT, il peut analyser le trafic réseau à la recherche d’autres ressources non protégées, se déplacer latéralement pour infiltrer d’autres parties de l’infrastructure de sa cible ou partir en reconnaissance pour planifier des attaques à grande échelle sur des équipements et des appareils sensibles. Selon une étude, 35 % des professionnels de la sécurité ont signalé qu’au cours des 2 dernières années, un appareil IoT a été utilisé pour lancer une attaque plus vaste sur leur organisation.16

Malheureusement, l’IoT est souvent une boîte noire pour les organisations en termes de visibilité et beaucoup d’entre elles manquent de mesures de sécurité IoT appropriées. 60 % des professionnels de la sécurité ont cité la sécurité IoT et OT comme l’un des aspects les moins sécurisés de leur infrastructure IT et OT.17

Les appareils IoT eux-mêmes présentent souvent des vulnérabilités dangereuses. Des données de renseignements Microsoft ont révélé que 1 million d’appareils connectés visibles publiquement sur Internet exécutent le serveur web Boa, un logiciel obsolète non pris en charge encore largement utilisé dans les appareils IoT et les Kits de développement logiciel (SDK).18

Un nombre croissant de pays font le constat de ces zones invisibles et demandent à ce que la cybersécurité des appareils IoT soit améliorée.19,20 Ces régulations sont le signe que la sécurité IoT mobilise davantage l’attention, les professionnels et les particuliers s’inquiétant de plus en plus des vulnérabilités des appareils IoT. Alors que l’IoT est actuellement sous les projecteurs, les régulations sur la cybersécurité s’étendent à d’autres domaines, ce qui rend encore plus urgent pour les organisations d’acquérir une visibilité sur les surfaces d’attaque.

Les organisations migrent de plus en plus l’infrastructure, le développement d’applications, les charges de travail et des quantités importantes de données vers le cloud. La sécurisation de l’environnement cloud passe par la défense de divers services, notamment SaaS, IaaS et PaaS, distribués sur plusieurs clouds. Compte tenu de l’étendue et de la distribution des services concernés, il peut être difficile d’obtenir le bon niveau de visibilité et de protection sur chaque couche.

De nombreuses organisations luttent pour acquérir une visibilité complète de leur écosystème cloud, en particulier quand de plus en plus de données résident dans plusieurs environnements cloud et hybrides. Trop souvent, ce manque de visibilité est le signe d’une brèche de sécurité. Chez Microsoft, nous avons constaté que 84 % des organisations qui ont subi des attaques par ransomware n’avaient pas intégré leurs ressources multicloud à leurs outils de sécurité, une erreur qui ne pardonne pas.21

Le déplacement massif vers le cloud a également augmenté le nombre de nouveaux vecteurs d’attaque que les cybercriminels peuvent exploiter, beaucoup d’entre eux trouvant un accès via des brèches dans la sécurité des autorisations. Les vulnérabilités basées sur du code inconnu dans les applications développées dans le cloud ont considérablement augmenté le risque de compromission. C’est pourquoi le principal vecteur d’attaque cloud que nous voyons maintenant dans les organisations est le développement d’applications cloud.

L’adoption d’une approche de sécurité « Shift-left » — à savoir l’intégration de l’aspect sécuritaire dans les premières phases du développement d’applications — peut aider les organisations à renforcer leur posture de sécurité et à éviter l’introduction de ces vulnérabilités dès le départ.

Le stockage cloud est un autre vecteur d’attaque de plus en plus courant, car des autorisations incorrectes peuvent exposer les données utilisateur à un risque. Par ailleurs, les fournisseurs de services cloud eux-mêmes peuvent être compromis. En 2021, Midnight Blizzard (un groupe d’acteurs de la menace affilié à la Russie, anciennement connu sous le nom de NOBELIUM) a lancé des attaques par hameçonnage contre un fournisseur de services cloud dans une tentative de compromettre et de tirer profit de comptes clients privilégiés de gouvernement.22 C’est juste un exemple d’une menace moderne sur le cloud, mais nous devrions voir arriver d’autres attaques « cross-cloud » à l’avenir.

Aujourd’hui, la surface d’attaque externe d’une organisation s’étend sur une multitude de clouds, de chaînes d’approvisionnement numériques complexes et d’écosystèmes tiers massifs. Internet fait maintenant partie du réseau, et malgré sa taille presque insondable, les équipes de sécurité doivent défendre la présence de leur organisation sur Internet au même titre que tout ce qui se trouve derrière leurs pare-feu. Et alors que de plus en plus d’organisations adoptent les principes de la Confiance Zéro, la protection des surfaces d’attaque à la fois internes et externes est devenue un défi à l’échelle d’Internet.

La surface d’attaque globale s’agrandit avec Internet et s’étend tous les jours un peu plus. Chez Microsoft, nous en avons eu la preuve au travers de plusieurs types de menaces telles que les attaques par hameçonnage. En 2021, la DCU (Digital Crimes Unit) de Microsoft a conduit la suppression de plus de 96 000 URL d’hameçonnage différentes et de 7 700 kits d’hameçonnage, ce qui a permis d’identifier et de fermer plus de 2 200 comptes de messagerie malveillants utilisés pour collecter les informations d’identification de client volées.24

La surface d’attaque externe s’étend bien au-delà des propres ressources d’une organisation. Elle englobe souvent les fournisseurs, les partenaires, les appareils personnels non gérés des employés connectés aux réseaux ou aux ressources de l’entreprise, ainsi que les organisations nouvellement acquises. Il est donc indispensable de connaître les connexions externes et l’exposition afin d’atténuer les menaces potentielles. Un rapport Ponemon de 2020 a révélé que 53 % des organisations ont subi au moins une violation de données causée par un tiers au cours des 2 dernières années, coûtant en moyenne 7,5 millions USD.25

Dans la mesure où l’infrastructure derrière les cyberattaques se développe, il n’a jamais été aussi urgent d’avoir une visibilité de l’infrastructure des menaces et un inventaire des ressources exposées sur Internet. Nous avons observé que les organisations rencontrent souvent des difficultés pour comprendre l’étendue de leur exposition externe, d’où la présence de zones invisibles importantes. Ces zones invisibles peuvent entraîner des conséquences dévastatrices. En 2021, 61 % des entreprises ont subi une attaque par hameçonnage qui a entraîné au moins une interruption partielle de leurs opérations.26

Chez Microsoft, nous disons souvent aux clients de regarder leur organisation de l’extérieur vers l’intérieur lorsqu’ils évaluent la posture de sécurité. Au-delà de l’évaluation des vulnérabilités et des tests de pénétration, il est important d’avoir une visibilité claire de votre surface d’attaque externe afin de vous permettre d’identifier les vulnérabilités dans l’intégralité de votre environnement et de l’écosystème étendu. Si vous étiez un attaquant essayant de trouver un accès, qu’exploiteriez-vous ? La compréhension de toute l’étendue de la surface d’attaque de votre organisation est fondamentale pour la sécuriser.

Comment Microsoft peut vous aider


Le paysage des menaces actuel change constamment et les organisations ont besoin d’une stratégie de sécurité qui peut suivre. Face à une complexité et une exposition toujours plus grandes des organisations, alliées à une quantité élevée de menaces et à une économie de cybercriminalité facilement accessible, il n’a jamais été aussi urgent de sécuriser chaque centimètre carré de et entre chaque surface d’attaque.

Les équipes de sécurité ont besoin d’une veille des menaces performante pour se défendre contre des menaces nombreuses et en constante évolution. Une bonne veille des menaces met en corrélation les signaux de différents endroits — en fournissant au bon moment un contexte pertinent du comportement et des tendances actuels d’attaque afin que les équipes de sécurité puissent réussir à identifier les vulnérabilités, prioriser les alertes et interrompre les attaques. Et si une brèche se produit, la veille des menaces est essentielle pour empêcher d’autres dommages et améliorer les défenses afin d’éviter qu’une attaque similaire se reproduise. Pour le dire simplement, les organisations qui tirent parti d’une veille des menaces sont plus sécurisées et plus florissantes.

Microsoft bénéficie d’une vue sans commune mesure du paysage évolutif des menaces avec 65 mille milliards de signaux analysés tous les jours. En mettant en corrélation ces signaux en temps réel sur toutes les surfaces d’attaque, une veille des menaces reposant sur les solutions de Sécurité Microsoft fournit des renseignements sur l’environnement grandissant de ransomwares et de menaces pour vous permettre de voir et d’arrêter davantage d’attaques. Et avec les fonctionnalités d’IA avancées, telles que Microsoft Copilot pour la sécurité, vous pouvez garder une longueur d’avance sur l’évolution des menaces et défendre votre organisation à la vitesse d’une machine, en permettant à votre équipe de sécurité de simplifier ce qui est complexe, de détecter ce que d’autres ont raté et de tout protéger.

  1. [1]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 18

  2. [2]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 108

  3. [3]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 21

  4. [4]

    Rapport d’investigation de Verizon de 2022 sur les violations de données, p. 28

  5. [6]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 21

  6. [7]

    Rapport du FBI de 2021 sur la criminalité sur Internet, p. 3

  7. [8]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 2

  8. [9]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 19

  9. [10]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 14

  10. [11]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 92

  11. [16]

    Rapport de l’Institut de recherche Ponemon de 2021 sur l’état de la cybersécurité IoT/OT en entreprise, p. 2

  12. [17]

    Rapport de l’Institut de recherche Ponemon de 2021 sur l’état de la cybersécurité IoT/OT en entreprise, p. 2

  13. [18]

    Rapport de Microsoft de 2022 sur les cybersignaux, p. 3

  14. [21]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 16

  15. [22]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 37

  16. [23]

    Rapport de Microsoft de 2022 sur la défense numérique, p. 95

  17. [27]

    Rapport annuel de l’ITRC (Identity Theft Resource Center) de 2021 sur les violations de données, p. 5

Articles connexes

Trois moyens de vous protéger contre les rançongiciels

Une défense contre les ransomwares actuels nécessite bien plus que la mise en place de mesures de détection. Découvrez les trois meilleurs moyens de renforcer la sécurité de votre réseau contre les rançongiciels, dès aujourd’hui.

Le risque de sécurité unique des appareils IoT/OT

Dans notre dernier rapport, nous nous penchons sur la manière dont la connectivité IoT/OT croissante entraîne des vulnérabilités plus importantes et plus graves que les acteurs organisés de la cybermenace peuvent exploiter.

La convergence de l’informatique et de la technologie opérationnelle

La circulation croissante de l’Internet des objets (IoT) met en péril la technologie opérationnelle (OT), avec une série de vulnérabilités potentielles et une exposition aux acteurs de la menace. Découvrez comment protéger votre organisation.

Suivez la Sécurité Microsoft