VMware, Inc. (NYSE: VMW) vient de publier la huitième édition de son rapport annuel « Global Incident Response Threat Report » dédié à la sécurité. Cette édition analyse les problématiques rencontrées par les équipes en charge de la sécurité dans un contexte de pandémie et d’épuisement professionnel, et met également en lumière les menaces émergentes telles que les deepfakes, les attaques sur les API ou celles visant les équipes de réponse aux incidents. Dans un contexte géopolitique tendu, favorisant la recrudescence des cyberattaques, 65 % des personnes interrogées notent une hausse des cyberattaques depuis l’invasion de l’Ukraine par la Russie.

« Les cybercriminels intègrent désormais des deepfakes à leur arsenal de contournement des contrôles de sécurité », précise Rick McElroy, directeur de la stratégie de cybersécurité chez VMware. « Notre rapport révèle que deux tiers des répondants ont constaté l’utilisation de deepfakes dans le cadre d’une attaque, soit 13 % de plus que l’année précédente, l’e-mail étant par ailleurs le vecteur de choix. Les cybercriminels ne se limitent plus à des technologies de vidéo ou de voix synthétique dans le cadre de leurs opérations d’influence ou de désinformation. Désormais, ils utilisent des deepfakes pour compromettre les organisations et accéder à leurs environnements. »

L’étude met en lumière plusieurs éléments qui sont désormais à prendre très au sérieux pour aider les entreprises à mettre en place une stratégie plus efficace pour lutter contre les cyberattaques :

• L'épuisement professionnel des équipes informatiques devient un problème récurrent et critique. Au cours des 12 derniers mois, 47% d’entre elles ont déclaré un burnout parmi leurs membres du fait d’une pression extrême et 69 % des employés ont envisagé de quitter leur poste. Pour lutter contre ce « fléau », deux tiers des entreprises interrogées conscientes de ce phénomène ont mis en place des programmes pour améliorer leur bien-être.
• Les auteurs de ransomwares adoptent de plus en plus des stratégies de cyber extorsion. La prépondérance des attaques de ransomwares, souvent accentuée par les collaborations entre groupes cybercriminels sur le dark web, reste d’actualité. Ainsi, 57% des personnes interrogées ont été victimes d’attaques de ce type au cours des 12 derniers mois. En outre, 66 % d’entre elles ont noté l'existence de programmes d’affiliation et/ou de partenariat entre groupes de ransomwares. Parallèlement à cette nouvelle tendance, les cyber cartels les plus importants continuent de mettre les organisations sous pression à l’aide de techniques de double extorsion, en mettant leurs données aux enchères, ou par le biais de chantage.
• Les API, gage de croissance pour les entreprises, sont devenues la nouvelle cible privilégiée des attaquants. Pour mieux profiter de la prolifération des workloads et applications, 23 % des attaques compromettent désormais la sécurité des API. Pour 42% des répondants, les hackers choisissent en premier lieu de révéler des données sensibles ou privilégient les attaques par injections SQL et d’API (respectivement à 37 % et 34 %), et enfin 33% estiment qu’ils sont victimes d’attaques par déni de service distribué.
• Les déplacements latéraux se produisent de plus en plus. Les déplacements latéraux représentent 25 % de l’ensemble des attaques. Des hôtes de script (49 %) aux systèmes de stockage de fichiers (46 %) en passant par PowerShell (45 %), les plateformes de communication professionnelle (41 %) et .NET (39 %), les cybercriminels exploitent tout ce qu’ils ont sous la main pour sonder les réseaux des entreprises en profondeur. Une analyse des données télémétriques de VMware Contexa (un Cloud de renseignement sur les menaces haute fidélité et intégré aux produits de sécurité VMware) a ainsi révélé qu’en avril et en mai 2022, près de la moitié des intrusions impliquaient au moins un évènement de déplacement latéral.

« Pour protéger les surfaces d’exposition de plus en plus importantes des entreprises, les équipes de sécurité ont besoin d’une visibilité adéquate sur les workloads, appareils, utilisateurs et réseaux. Elles pourront ainsi détecter, se protéger et répondre aux cybermenaces », explique Chad Skipper, responsable mondial des technologies de sécurité chez VMware. « Lorsque des équipes de sécurité doivent prendre des décisions à partir de données incomplètes et peu fiables, et cela limite leur capacité à mettre en œuvre une stratégie précise. De ce fait, leurs efforts visant à détecter et bloquer les déplacements latéraux sont considérablement restreints. »

Face à un paysage toujours plus menaçant, les équipes de réponse aux incidents ne restent pas les bras croisés. Ainsi, 87 % des personnes interrogées affirment être parfois (50 %) ou très souvent (37 %) en mesure de contrer l’activité d'un cybercriminel. Notons également le recours à de nouvelles techniques, puisque trois quarts (75 %) des répondants utilisent désormais des patchs virtuels comme mesure d’urgence. Quoi qu’il en soit, plus les équipes de réponse aux incidents auront de visibilité sur la surface d'attaque élargie d’aujourd’hui, mieux elles sauront faire face aux pires scénarios.

Méthodologie

VMware a mené une enquête en ligne au sujet des tendances en matière de réponse aux incidents en juin 2022. Au total, 125 professionnels de la sécurité et de la réponse aux incidents ont pris part à cette étude à travers le monde. Les pourcentages calculés pour certaines questions dépassent les 100 %, car les répondants ont été invités à sélectionner plusieurs réponses à la fois si nécessaire. En outre, les résultats étant arrondis, la somme des pourcentages de certaines questions est susceptible de ne pas totaliser les 100 %.