Skyhigh SecurityLes enseignements du rapport 2024 de Verizon sur les enquêtes relatives aux violations de données

Par Rodman Ramezanian - Responsable mondial des menaces liées à l'informatique en nuage, Skyhigh Security

21 mai 2024 4 Lecture minute

C'est à nouveau le moment de l'année ! La dernière édition du très acclamé Data Breach Investigations Report (DBIR) de Verizon a été publiée, offrant des points forts et des informations précieuses sur le paysage des menaces en constante évolution, les vecteurs d'attaque les plus importants et les secteurs d'activité ciblés. Considérez-le comme le bulletin annuel de l'industrie de l'InfoSec.

L'édition 2024 marque la 17e édition du rapport et commence par une reconnaissance de l'évolution de l'environnement des cybermenaces. L'année écoulée a été particulièrement active en matière de cybercriminalité. Verizon a analysé 30 458 incidents de sécurité réels, dont 10 626 étaient des violations de données confirmées - un record qui a touché des victimes dans 94 pays.

Si vous n'avez pas encore eu l'occasion de consulter le dernier rapport DBIR de Verizon, voici quelques points clés et informations intéressantes:

• Verizon a révisé sa classification de l'"élément humain" :
• Auparavant, l'élément humain englobait toute activité impliquant un être humain, telle que l'hameçonnage, la compromission du courrier électronique professionnel et les menaces internes.
• Aujourd'hui, Verizon se concentre spécifiquement sur l'élément humain non malveillant.
• Les incidents impliquant un élément humain ne comprennent plus d'activités malveillantes intentionnelles, mais plutôt des situations où des personnes sont victimes d'attaques d'ingénierie sociale ou commettent des erreurs.
• Verizon a également modifié sa classification des "ransomwares" :
• Au lieu de se concentrer uniquement sur les ransomwares, Verizon regroupe désormais les ransomwares avec des attaques similaires de type "extorsion".
• La principale distinction est que dans une attaque par ransomware, l'auteur crypte les données de la victime et demande une rançon pour les récupérer, alors que dans une attaque par extorsion, l'auteur vole les données et menace de les rendre publiques s'il n'est pas payé.
• Alors que les incidents liés aux ransomwares ont légèrement diminué, les attaques par extorsion ont fortement augmenté. En raison de leurs similitudes, Verizon les classe désormais dans la même catégorie.
• L'IA générative est notablement absente.
• Verizon observe qu'en dépit de l'engouement suscité par l'IA générative au sein de la communauté de la cybersécurité et du potentiel bien connu de son utilisation par les acteurs de la menace, il n'existe actuellement aucune preuve suggérant qu'elle est employée de manière significative.
• Cela suggère qu'il n'y a pas de percée imminente ou d'impact notable sur la réponse aux incidents à partir d'optimisations potentielles du côté de l'attaque. Verizon ne considère pas l'IA générative comme une menace importante à moins de changements substantiels.
• Trente-deux pour cent des brèches impliquent des ransomwares ou des tactiques d'extorsion.
• Alors que les incidents liés aux ransomwares se sont stabilisés et ont légèrement diminué après un pic en 2022, les cas d'extorsion ont fortement augmenté, entraînant une hausse globale significative de ces types d'attaques.
• Les rançongiciels et l'extorsion figurent parmi les trois principales menaces dans 92 % des secteurs d'activité et sont impliqués dans 62 % des incidents à motivation financière.
• Soixante-huit pour cent des violations sont liées à des actions humaines non malveillantes.
• Il peut s'agir par exemple d'employés trompés par des attaques d'ingénierie sociale ou des erreurs de configuration informatique.
• Cela représente une légère baisse par rapport aux 74 % de l'année dernière. Toutefois, il est important de noter que si les incidents malveillants étaient exclus des données de l'année dernière, le pourcentage aurait également été d'environ 68 %. Ainsi, le taux d'attaques ciblant l'élément humain est resté constamment élevé.
• Le temps médian nécessaire à un utilisateur pour tomber dans le piège d'un courriel de phishing est de moins de 60 secondes.
• Après avoir été séduits par le message, les utilisateurs mettent en moyenne 28 secondes pour saisir les données demandées.
• Au cours des dix dernières années, les informations d'identification volées ont été impliquées dans 31 % de toutes les violations. Cette année, ils ont été retrouvés dans 38 % des violations.

Malgré une diminution des attaques d'applications Web de base par rapport à l'ingénierie sociale et aux attaques par erreur, le vol d'informations d'identification est toujours en cause dans 77 % des attaques.

Que faut-il faire ?

Le dicton "l'homme est le maillon le plus faible" est tout à fait approprié ici. Malgré des mesures de sécurité strictes, l'homme reste vulnérable à l'ingénierie sociale et aux erreurs telles que les mauvaises configurations du système, les mots de passe faibles et l'utilisation accidentelle de liens ou de logiciels malveillants. Les biais cognitifs jouent également un rôle, entraînant un excès de confiance dans la détection des menaces et une sous-estimation des risques d'attaque. Les récentes conclusions de Verizon mettent en évidence ces vulnérabilités persistantes.

L'adoption des principes de la confiance zéro est essentielle pour lutter contre les erreurs humaines et les vulnérabilités, car elle permet de vérifier en permanence chaque utilisateur et chaque appareil, réduisant ainsi la dépendance à l'égard d'utilisateurs internes intrinsèquement confiants. Elle applique des contrôles d'accès stricts, limite les dommages potentiels causés par les erreurs humaines ou les actions malveillantes, et enrichit la surveillance afin de détecter rapidement les activités suspectes et d'y répondre, atténuant ainsi les risques associés au comportement humain.

S'il va sans dire que ces attaques ont eu un impact significatif sur les êtres humains, les données des entreprises ont sans doute été les plus grandes victimes au cours de la période couverte. Qu'il s'agisse de données cryptées et faisant l'objet d'une rançon aux mains d'extorqueurs, de données perdues lors d'attaques de phishing (nombreuses) ou de données volées grâce à l'exploitation d'anciennes technologies VPN, la perte de données a été l'un des dénominateurs les plus communs de l'ensemble du rapport.

Il s'agit d'un nouveau rappel brutal de l'importance d'adopter une approche de la sécurité centrée sur les données. Après tout, la cybersécurité est fondamentalement un problème de données. Qu'il s'agisse des vecteurs de courrier électronique principalement ciblés par les attaques d'hameçonnage, des actifs en nuage qui contiennent de plus en plus de données ou des données internes dispersées dans les environnements d'entreprise, il est fondamental d'identifier, de classer et de protéger les données de manière cohérente, où qu'elles se trouvent et où qu'elles aillent.

Si l'on examine le bilan de l'année de Verizon, on constate que des attaques très médiatisées impliquant des produits VPN sont apparues à plusieurs reprises. Pour citer Verizon, "Tout ce qui augmente votre surface d'attaque sur l'internet peut être ciblé et constituer potentiellement le premier point d'ancrage d'un acteur de menace externe, et à ce titre, l'objectif devrait être d'essayer de réduire les points d'ancrage au minimum".

Cela renforce une fois de plus la pression exercée par les leaders d'opinion de l'industrie et de la sécurité en faveur de l'adoption des principes de la confiance zéro. En voici quelques raisons :

1. Confiance présumée: Les VPN accordent un large accès au réseau une fois la connexion établie, tandis que la confiance zéro vérifie en permanence l'identité de l'utilisateur et ses droits d'accès.
2. Contrôle d'accès: Les VPN offrent un large accès, ce qui rend difficile l'application du principe du moindre privilège. La confiance zéro garantit un accès strict et granulaire à des ressources spécifiques.
3. Sécurité statique: Les VPN dépendent d'un périmètre statique, ce qui est moins efficace pour les effectifs distribués et les services en nuage. Zero Trust sécurise chaque demande d'accès, quel que soit son emplacement.
4. Mouvement latéral: Les VPN facilitent les mouvements latéraux en cas de violation. Zero Trust segmente le réseau et le vérifie en permanence, ce qui limite les brèches et les mouvements des attaquants.

Le bilan

Les rapports annuels de Verizon sur les violations de données sont toujours les bienvenus, car ils continuent à mettre en lumière les menaces, les risques et les vulnérabilités prévalant à l'échelle mondiale et continuant à affecter les organisations de toutes formes et de toutes tailles dans le monde entier.

On espère toujours que les organisations tiendront compte de ces informations pour renforcer leurs régimes de sécurité. La réalité, cependant, est que bon nombre des thèmes les plus courants et récurrents du phishing, de l'ingénierie sociale et des attaques par mouvement latéral continuent d'apparaître en quantités tout à fait frappantes.

Comme nous l'avons mentionné, nous encourageons vivement l'adoption d'une approche de la sécurité centrée sur les données en se concentrant sur la protection de vos données - où qu'elles soient utilisées, par n'importe quel appareil, par n'importe quel moyen de connectivité et de collaboration, et à partir de n'importe quel endroit. En donnant la priorité à la protection des données, vous aiderez les entreprises à atténuer les menaces et les risques mis en évidence dans le rapport de Verizon.

Retour à Blogs