Les vecteurs d’attaque initiaux les plus courants

Comment les cybercriminels sont plus susceptibles d’accéder à l’infrastructure de l’entreprise prise pour cible.

Certaines entreprises contactent souvent nos experts pour obtenir de l’aide en urgence en cas d'incident informatique, pour faire (ou les aider à faire) des recherches ou pour analyser les outils des cybercriminels. En 2020, nous avons collecté une grande quantité de données pour avoir un aperçu de la situation actuelle des menaces, ce qui nous a aidé à prédire les scénarios d’attaque les plus probables, y compris les vecteurs d’attaque initiaux les plus courants, et à choisir les meilleures tactiques de défense.

Lorsque nous enquêtons sur un incident informatique, nous faisons particulièrement attention au vecteur d’attaque initial. En quelques mots, l’accès utilisé est un point faible et il faut identifier le point faible du système de défense pour éviter que cela ne se reproduise.

Malheureusement, ce n’est pas toujours possible. Dans certains cas, trop de temps s’est écoulé entre le moment de l’incident et sa détection. Il peut aussi arriver que la victime n’ait pas conservé de registre ou ait effacé toutes les traces de l’attaque (accidentellement ou volontairement).

La situation se complique lorsque les cybercriminels lancent une attaque via la chaîne d’approvisionnement, une méthode de plus en plus répandue, puisque le vecteur initial ne relève pas de la compétence de la victime mais plutôt d’un développeur de programme tiers ou d’un fournisseur de service. Pourtant, dans plus de la moitié des incidents, nos experts ont pu déterminer précisément le vecteur d’attaque initial.

Première et deuxième place : attaque par force brute et exploitation d’applications publiquement accessibles

Les attaques par force brute et l’exploitation des vulnérabilités d’applications et de systèmes accessibles en dehors du périmètre de l’entreprise occupent les deux premières positions. Ces deux méthodes ont été utilisées comme vecteur initial d’accès dans 31,58 % des cas.

Comme nous l’avons constaté ces dernières années, il n’y a rien de plus efficace que l’exploitation des vulnérabilités pour lancer une attaque. Une analyse plus approfondie des vulnérabilités exploitées suggère que cette faille est principalement imputable aux entreprises qui n’installent pas les mises à jour en temps et en heure. Au moment des attaques, tous les patchs des vulnérabilités étaient disponibles. Les victimes auraient pu être épargnées s’ils avaient été installés.

La transition de masse des entreprises vers le télétravail et vers l’utilisation de services d’accès à distance explique la légère hausse de la popularité des attaques par force brute. Lors de cette transition, de nombreuses entreprises n’ont pas su résoudre correctement les questions de sécurité. Ainsi, le nombre d’attaques sur les connexions à distance est monté en flèche du jour au lendemain. Par exemple, entre mars et décembre 2020 les attaques par force brute basées sur le RDP ont augmenté de 242 %.

Troisième place : e-mail malveillant

Dans 23,68 % des cas le vecteur d’attaque initial était un e-mail malveillant, soit avec une pièce jointe malveillante soit avec un lien d’hameçonnage. Les opérateurs d’attaques ciblées et ceux qui envoient des messages en masse utilisent depuis longtemps ces deux types de messagerie malveillante.

Quatrième place : téléchargement furtif

Les escrocs arrivent parfois à accéder au système en utilisant un site que la victime visite régulièrement ou consulte par hasard. Pour utiliser cette tactique, que nous avons vue à l’action lors de certaines attaques APT complexes, les cybercriminels ajoutent au site des scripts qui exploitent une vulnérabilité du navigateur pour exécuter un code malveillant sur l’ordinateur de la victime, ou alors ils incitent la victime à télécharger et installer le malware. En 2020, cette méthode a été le vecteur d’attaque initial dans 7,89 % des cas.

Cinquième et sixième place : dispositifs de mémoire portables et attaques en interne

L’utilisation de clés USB pour pénétrer dans le système des entreprises est beaucoup plus rare. Les clés USB infectées par un virus sont en grande partie chose du passé, et la méthode qui consiste à donner une clé USB dangereuse à une personne est peu fiable. Cette technique représente toutefois 2,63 % des pénétrations initiales du réseau.

Les incidents en interne représentent la même proportion (2,63 %). Il s’agit d’employés qui, pour une quelconque raison, voulaient porter préjudice à leur entreprise.

Comment réduire la probabilité d’être victime d’un incident informatique et d’en subir les conséquences

La plupart des incidents que nos experts ont analysés étaient évitables. À partir de leurs conclusions nous vous conseillons :

  • D’introduire une politique stricte en matière de mots de passe et d’imposer l’utilisation de l’authentification à plusieurs facteurs ;
  • D’interdire l’utilisation de services de gestion à distance publiquement accessibles ;
  • D’installer les mises à jour des programmes dès qu’elles sont disponibles ;
  • De protéger les serveurs de messagerie grâce à des outils anti-hameçonnage et anti-malware ;
  • De former régulièrement les employés pour qu’ils connaissent les cybermenaces modernes.

De plus, n’oubliez pas de configurer tous les systèmes d’audit et de registre, et d’effectuer régulièrement des sauvegardes de vos données, non seulement pour simplifier les recherches mais aussi pour réduire au minimum les dégâts qu’un incident informatique pourrait causer.

Ces statistiques ne représentent qu’une infime partie des informations utiles que nos experts ont à vous offrir. Nous vous invitons à cliquer ici pour lire la totalité de notre rapport Incident Response Analyst.

Conseils