Rapport CERT-Wavestone 2024 : tendances, analyses et enseignements pour 2025
Publié le 5 décembre 2024
- Cybersécurité
En 2024, le CERT-Wavestone (équipe de réponse à incident) a traité plus de 20 incidents majeurs pour lesquels des investigations forensiques ont été menées. Ces incidents ont concerné plus de 10 secteurs d’activités différents, correspondant aux cibles majeures également identifiées par l’ANSSI.
Les grandes leçons de 2024
- La motivation principale des attaques reste le gain financier, qui concerne 50% des incidents gérés. Le moyen d’extorsion le plus utilisé est toujours le ransomware.
- La porte d’entrée principale des attaquants est l’exploitation de vulnérabilités sur des sites web exposés à Internet.
- Les attaques opportunistes dominent l’échantillon. Elles sont déclenchées de plus en plus rapidement, et visent notamment les données métiers sensibles et les sauvegardes. Elles ciblent les petites structures, mais aussi les grandes entreprises au travers de leurs filiales les moins matures et leurs partenaires.
- L’Intelligence Artificielle apporte de nouvelles capacités pour les cybercriminels et une opportunité pour de nouvelles attaques encore méconnues (empoisonnement, évasion, oracle…).
- Face à ces menaces, nous recommandons d’investir dans les mesures de sécurité ayant le plus d’impact dans la protection des attaques (gestion des identités, supervision, protection des sauvegardes), sans oublier de cibler les périmètres les moins maîtrisés (filiales, IA, cloud…).
Motivations : l’appât du gain toujours indétrônable
Des attaquants principalement motivés par l’argent
Avec 50% des incidents traités par le CERT-Wavestone, la motivation pécuniaire domine le classement, avec le ransomware comme moyen prédominant.
Espionnage, fraude et vol de données toujours en hausse
- Les actes d’espionnage sont en hausse. Ces attaques sont notamment alimentées par un contexte géopolitique tendu.
- Le nombre de fraudes et de vols de données augmente, représentant respectivement 29% des attaques répondant à une motivation financière en 2024.
- La part d’attaques sans motivation claire est également en hausse : 35% des incidents traités en 2024, contre 29% en 2023.
Les vulnérabilités sur les sites web exposés à Internet, le premier canal d’entrée sur le SI
Pour 40% des incidents traités en 2024, le point d’entrée sur le SI était une exploitation de vulnérabilité sur des sites web exposés à Internet. Ceci s’explique notamment par la capacité des attaquants à déployer de plus en plus rapidement des outils d’exploitation automatisé de vulnérabilité, quelques jours seulement après leur publication.
Avec 20% chacun, le phishing et l’intrusion sur les systèmes d’accès à distance complètent le podium et demeurent des vecteurs d’intrusion fortement utilisé.
Filiales, données métiers, sauvegardes et rapidité des attaques : les 4 principales tendances de 2024
Les progrès en cybersécurité des grandes entreprises les protègent face aux menaces les plus courantes, mais leurs filiales les moins matures restent vulnérables. Ainsi, 66% des incidents ciblant les grandes entreprises ont visé leurs filiales.
Une filiale d’un groupe du secteur banque-assurance a été attaquée via une vulnérabilité critique d’un composant exposé sur Internet et non maintenu à jour. L’attaquant a ensuite tiré parti de règles de filtrage permissives pour se propager au sein du système d’information, extraire des données et lancer un ransomware.
Que ce soit pour de l’espionnage ou pour inciter le paiement d’une rançon, le vol de données reste l’un des principaux impacts des cyber-attaques. 77% des attaques traitées par le CERT-Wavestone ont comporté un vol de donnée avéré.
Un attaquant a maintenu un accès persistant au système d’information d’une entreprise industrielle pendant 2 ans. Il a notamment exfiltré des emails à intervalles réguliers. Sa présence n’a été révélée qu’à la suite d’une campagne de phishing menée à partir de l’une des adresses compromises.
L’effacement des sauvegardes est un objectif de plus en plus courant pour les attaquants afin de positionner le paiement de la rançon comme seule option pour les victimes. Sur le terrain, 90% des attaques par ransomware ont ciblés directement ou indirectement les sauvegardes.
Dans le secteur de la santé, un attaquant est parvenu à obtenir les droits d’administrateur de l’Active Directory. Il a ensuite désactivé la création de nouvelles sauvegardes et neutralisé le système d’alerte surveillant leur mise en place. Enfin, l’attaquant a attendu une dizaine de jours avant de lancer son attaque par ransomware, s’assurant ainsi que la victime ne disposait d’aucune sauvegarde récente pour se reconstruire.
Le plus court délai constaté entre l’intrusion de l’attaquant sur le SI et le déclenchement de son attaque est de seulement 3 jours. Face à ces délais de plus en plus courts, les capacités de détection et de réaction automatisées des SOC et CERT sont clés pour contrer les cyber-attaques.
Un attaquant a mené une attaque par force brute pour accéder à un compte sur la passerelle VPN locale. En moins de 2 heures, il a élevé ses privilèges et compromis le domaine Active Directory en exploitant des comptes de service. Au cours des 2 jours suivants, l’attaquant a exfiltré un volume massif de données, puis a lancé son attaque par ransomware durant le week-end.
L’Intelligence Artificielle, une nouvelle arme à disposition des cybercriminels
L’Intelligence Artificielle constitue une nouvelle arme pour les cybercriminels, au travers de :
- La génération de scripts malveillants qui facilite la recherche de vulnérabilités et la réalisation d’attaques par des acteurs de faible niveau d’expertise.
- Le Deepfake qui facilite l’usurpation d’identité (et en particulier les arnaques au président) par de faux audios ou vidéos.
- L’amélioration des possibilités de phishing en automatisant et en perfectionnant ces attaques pour les rendre encore plus réalistes.
L’Intelligence Artificielle représente également des opportunités pour des attaques encore méconnues :
- Les attaques par empoisonnement : L’attaquant manipule les données d’entraînement de l’IA pour nuire à l’intégrité du modèle.
- Les attaques « oracle » : en interagissant avec le modèle d’IA, l’attaquant tente d’extraire des informations sur les données d’entraînement ou sur le modèle en lui-même.
- Les attaques par évasion : elles impliquent la modification minutieuse des données d’entrée pour conduire le modèle à des décisions erronées.
Nos recommandations
Face à ces menaces, les mesures de sécurité ayant le plus d’impact sont les suivantes :
- Maîtriser de bout en bout la gestion des identités
- Renforcer la supervision sur l’ensemble du SI
- Protéger les sauvegardes
Les périmètres les moins maîtrisés doivent également être pris en compte. Il convient notamment de :
- Contrôler la maturité cyber des filiales et sécuriser leurs interconnexions à la maison mère
- Appliquer le principe du moindre privilège sur le cloud et contrôler automatiquement l’application du durcissement
- Sécuriser l’ensemble des systèmes d’Intelligence Artificielle
Méthodologie du rapport CERT-Wavestone 2024
L’édition 2024 du rapport CERT-Wavestone est basée sur des données observées entre les mois d’août 2023 et septembre 2024. Cette étude se base sur 20 cyber-incidents majeurs et crises gérés par le cabinet Wavestone sur la période.
Victime d’une attaque ? Découvrez notre offre ou contactez nos experts.