L’essor de la cybercriminalité devient une préoccupation majeure pour les entreprises, rappelons que selon la dernière édition du Risk Barometer, baromètre annuel de l’assureur Allianz, l’incident cyber est en 2023 la menace la plus redoutée par les dirigeants. Ransomware as a service, kit de phishing, génération de malwares à l’aide de l’intelligence artificielle, quel est le panorama actuel de l’industrie de la cybercriminalité ? Quelles sont les conséquences de son essor et comment s’en protéger ? Explications.
Avec l’émergence de nouvelles technologies, la cybercriminalité change d’échelle et les mots utilisés pour désigner les nouveaux phénomènes à l’œuvre le prouvent. L’expression « cybercriminalité industrielle » émerge, désignant ainsi l’utilisation de techniques avancées permettant de mener de manière massive des activités illégales en ligne. L’artisan cybercriminel laisse ainsi sa place à une industrialisation s'appuyant sur des éléments existants : achat d’un accès initial, kit d’exploitation de vulnérabilités, bases de données volées. Et pour cause, « La motivation principale de la cybercriminalité industrielle est le gain financier, puis l’espionnage et la déstabilisation » comme le rappelle l’ANSSI dans son « Panorama de la cybermenace 2022 ».
Fort de cette prolifération technologique, de nombreuses attaques semblent aujourd’hui pilotées par des outils automatisés déployant des actions à grandes échelles. La cyberattaque Wanna Cry ayant infecté 200 000 machines en était l’exemple en 2017, plus récemment, en février 2023, la campagne de ransomware ESXiArgs impactant 3200 serveurs VMWARE en est une autre. Cette typologie de cyberattaques n’est plus ponctuelle ou opportuniste comme elles ont pu l’être par le passé. Elles sont désormais massives et efficientes.
Année après année, les événements se succèdent et la facture grimpe : Covid-19, accélération de la digitalisation des entreprises avec la démocratisation à marche forcée du télétravail , guerre en Ukraine… En 2021, le coût total mondial de la cybercriminalité aurait dépassé les 6 000 milliards de dollars d’après l’Association italienne pour la sécurité informatique (Clusit) dans son rapport 2022. Et c’est précisément la rentabilité des cyberattaques qui favorise et entretient la structuration d’un véritable écosystème autour de la cybercriminalité industrielle.
Les assaillants sont désormais organisés en groupes structurés. Expertise technique, infrastructure, chaque groupe se démarque et apporte une valeur ajoutée à cet écosystème. L’exemple le plus marquant est celui des IAB ou Initial Access Broker, groupes cybercriminels dont l’expertise est de compromettre le système d’information d’une entreprise et de vendre cet accès. IAB, utilisation de faille 0-day, développement de malware, tels des rouages d’une même chaîne, les expertises se revendent et permettent de fournir au plus offrant une capacité de nuisance. Ce nouveau modèle à un nom, celui du « Cybercrime-as-a-Service (CaaS) ».
Pour mener leurs attaques à grande échelle, les cybercriminels utilisent désormais des outils automatisés destinés à exploiter des vulnérabilités connues et inconnues. Parmi leurs objectifs : déployer des malwares et/ou ransomwares, exfiltrer des données et les chiffrer… dans le but de générer des gains financiers.
S’ils ne s'introduisent pas dans l’infrastructure de la victime, les attaquants peuvent exiger une rançon, sans quoi une campagne de déni de service (Ddos) paralysera tout site internet, API et autres applications web de l’acteur visé. Un mode opératoire hautement lucratif puisque selon une étude d’un éditeur de cybersécurité outre atlantique daté de 20201] le coût d’une attaque par déni de service distribuée serait commercialisé sur le dark web à moins de $10 pour une durée d’une heure et autour de $60 pour 24 heures. Une simplicité de nuisance qui fait froid dans le dos.
Aucun acteur n’est épargné par la cybercriminalité industrielle, mais certains sont davantage touchés que d’autres. Dans son rapport « Threat Landscape 2022 », l’ENISA met en lumière les secteurs les plus visés : administrations et gouvernements comptabilisent 24,21 % des incidents de sécurité, les fournisseurs de services numériques 13,09 % et le secteur public en général, 12,43 %.
Quels que soient leur taille et leur domaine d’activité, ces organisations traitent années après années des volumes de données en constante augmentation (données financières et bancaires, e-mails, identifiants des utilisateurs, propriété intellectuelle, etc.). De ce fait, les entreprises de stockage dans le cloud et d’hébergement sont également visées. C’est également le cas d’organisations des secteurs de l’énergie, de la finance, de la santé, de la grande distribution, et des infrastructures dites « sensibles ».
Malgré toutes les précautions prises pour protéger leurs actifs informatiques critiques, ces organisations restent vulnérables face à des cybercriminels qui voient en elles des sources de profit.
Les conséquences de la cybercriminalité industrielle sont multiples pour les organisations :
Un ensemble de conséquences qui pèse sur la santé des entreprises. Rappelons que 60% des TPE/PME victimes d’une cyberattaque déposent le bilan dans les 6 mois.
Les cyberattaques étant de plus en plus sophistiquées et automatisées, elles sont également de plus en plus difficiles à détecter et donc à contrer. Elles sont désormais dotées de mécanismes de protection (anti-détection et anti-analyse) et peuvent potentiellement toucher tout type de matériel (équipements mobiles, terminaux de paiement, objets connectés, etc.).
Le recours croissant à des mécanismes d’évasion (polymorphisme, Fileless malware, LolBins, chaîne de redirection dans les campagnes de phishing) aide également les cybercriminels à contourner les outils de protection traditionnels. L’utilisation de tels mécanismes complexifie également la tâche d’analyse post-incident et rend difficiles les investigations pour tenter de remonter à l’origine d’une attaque.
Depuis quelques années déjà, le ransomware est la plus grande menace qui pèse sur les organisations. D’après le rapport d’activité 2021 du dispositif Cybermalveillance.gouv.fr, les ransomwares représentent toujours la première cause de recherche d’assistance des organisations (entreprises, associations, collectivités, administrations) auprès des autorités en France. Concrètement, les organisations doivent porter des efforts soutenus sur les sauvegardes de données pour limiter les perturbations et faciliter la reprise d’activité en cas d’attaque par ransomware.
D’après le baromètre 2023 de la cybersécurité des entreprises réalisé par le CESIN, le phishing ou spear-phishing est le principal vecteur d’attaque utilisé par les cybercriminels, puisque 74 % des entreprises interrogées disent en avoir été victimes au cours des 12 derniers mois. Les campagnes de phishing (Business Email Compromise, fraude au président, etc.) sont de plus en plus ciblées, réalistes et complexes (utilisation de sites légitimes compromis, utilisation du protocole HTTPS sur des sites malicieux, etc.). Il est donc pertinent, pour les organisations, de mettre en place des initiatives de sensibilisation au phishing, voire des simulations, pour apprendre aux salariés à détecter, signaler et réagir correctement face à ce genre de tentatives.
Les assaillants dépensent également une grande quantité d’énergie dans l’exploitation de failles de sécurité. La meilleure des protections pour les organisations reste donc d’identifier, de prioriser et de corriger en continu les vulnérabilités de leur système d’information pour réduire au maximum la surface d’attaque.
La menace d’une cybercriminalité industrialisée est bien réelle. Face à une recrudescence d’attaque à grande échelle, il est important pour les entreprises d’adopter une stratégie de sécurité qui s’appuie sur une profonde sensibilisation des collaborateurs à reconnaître une potentielle anomalie tout en s’appuyant sur des outils de détection, de réponse et de remédiation permettant de faire face à l’incident.
Si vous souhaitez en savoir plus, un expert Orange Cyberdéfense se tient à votre disposition.