Orange Cyberdefense, la branche dédiée à la cybersécurité d’Orange, publiera demain à 10h00 CET son rapport de recherche en sécurité annuel, le « Security Navigator 2024 ». Le rapport, qui rassemble, recoupe et analyse des données de sources variées*, dresse un tableau vaste et complexe de l’univers de la cybersécurité cette année, amplifié par des facteurs technologiques, géopolitiques, économiques et sociaux. Dans un contexte d’instabilité et d’imprévisibilité croissantes, les organisations doivent absolument réduire leur exposition au risque à travers la compréhension du paysage des menaces et de ses potentielles répercussions.
Le Security Navigator 2024 révèle que les équipes chargées de la détection des menaces ont traité 30 % d’événements supplémentaires sur la période, soit un total de 129 395, dont 25 076 (19 %) incidents confirmés. La catégorie « Hacking » reste prédominante, avec près d’un tiers des incidents confirmés (30,32 %), suivie par les catégories « Utilisation abusive » (16,61 %) et « Malware », en 3e position (12,98 %).
Malgré un volume d’incidents plus élevé, le nombre réel d’incidents de sécurité confirmés par nos équipes auprès des clients que nous soutenons a diminué de 14% d’une année sur l’autre. Le secteur de l’Industrie manufacturière (32,43 %) est de loin le plus touché en termes d’incidents confirmés, conformément aux tendances des années passées. La Vente au détail et le commerce (21,73 %) et les Services professionnels, scientifiques et technologiques (9,84 %) complètent le Top 3, qui représente à lui seul plus des deux tiers des incidents confirmés que nous signalons à nos clients.
Outre l’appât du gain, de plus en plus d’acteurs malveillants sont animés par des causes politiques ou idéologiques, mêlant dans leurs attaques des techniques d’espionnage, de sabotage, de désinformation et d’extorsion. L’augmentation record cette année du nombre de victimes de cyber-extorsion (ransomware) est mondiale et s’accompagne d’une hausse considérable de l’hacktivisme, en lien avec la guerre contre l’Ukraine. Les événements géopolitiques actuels ont également politisé certains acteurs de la cyber-extorsion.
Le paysage des menaces de cyber-extorsion, mode d’action consistant à extorquer de l’argent à une victime par le biais d’une action cyber (chiffrement des données, divulgation de données confidentielles, blocage des accès,…) continue à évoluer rapidement. Ces 12 derniers mois, une hausse mondiale record de 46 % des victimes de cyber-extorsion a été enregistrée. Les grandes entreprises ont essuyé la majorité des attaques (40 %), avec une hausse régulière pour celles qui emploient plus de 10 000 personnes. Cette tendance a été exacerbée par l’acteur malveillant Cl0p, qui a exploité deux vulnérabilités majeures en 2023. Les petites entreprises représentent un quart (25 %) des victimes et sont suivies de près par les moyennes entreprises avec 23 %.
Les grandes économies anglophones continuent d’enregistrer le plus grand nombre de victimes. Plus de la moitié d’entre elles (53 %) ont leur siège aux États-Unis, au Royaume-Uni (2e, 6 %) et au Canada (3e, 5 %). Cependant, nous constatons peu à peu une latéralisation de la répartition géographique, illustrée par des hausses considérables du nombre de victimes en Inde (+97 %), en Océanie (+73 %) et en Afrique (+70 %) d’une année sur l’autre.
En 2023, 25 groupes de cyber-extorsion ont disparu, 23 groupes ont survécu d’une année à l’autre et 31 nouveaux groupes ont émergé. Parmi les groupes de cyber-extorsion existants, plus de la moitié (54 %) ont survécu 6 mois maximum, 21 % ont survécu pendant 7 à 12 mois et 10 % ont survécu pendant 13 à 18 mois. Ce constat rappelle les difficultés auxquelles se heurtent ceux qui tentent de lutter contre les acteurs de cyber-extorsion.
Ces deux dernières années, nous avons constaté une augmentation de l’activité dans la sphère de l’hacktivisme, utilisé pour défendre des causes de nature politique ou sociale. Les attaques de groupes d’hacktivistes engagés aux côtés de la Russie ou de l’Ukraine ont atteint des niveaux record. L’Ukraine, la Pologne et la Suède ont été les pays les plus touchés par les hacktivistes prorusses que nous surveillons. Cette tendance à la hausse est exacerbée par d’autres événements géopolitiques à l’origine de l’émergence de nouveaux groupes, notamment au regard de la situation actuelle au Proche Orient.
L’Europe a essuyé 85 % des attaques d’hacktivistes en 2023, suivie par l’Amérique du Nord (7 %) et le Moyen-Orient (3 %). Nous constatons que la plupart des pays qui subissent des attaques d’envergure sont géographiquement proches de la guerre contre l’Ukraine.
Nos recherches ont révélé un phénomène d’évolution continue vers des attaques « cognitives », qui cherchent à façonner les perceptions. Les perturbations causées (par l’attaque en elle-même ou la valeur des données ou systèmes touchés) sont finalement moins importantes que les répercussions de ces attaques sur la perception sociétale. Plus globalement, nous observons des événements physiques suscitant une cyberréponse directe des acteurs malveillants, et entraînant une escalade des tensions géopolitiques en question.
La plupart des attaques d’hacktivisme observées sont des dénis de service distribués (DDoS). Certains groupes d’hacktivistes ont développé de solides compétences DDoS, tandis que d’autres mettent en avant leurs capacités et leur impact, employant un langage et une narration disproportionnés par rapport à leurs actions (et répercussions) concrètes.
Sur la base du cadre VERIS , l’action malveillante « Hacking » reste le type d’incident de sécurité le plus détecté, puisqu’elle représente près d’un tiers des incidents confirmés, soit 30,32 %. Cela représente une hausse significative par rapport aux 25 % de l’année dernière. La catégorie « Malware » a toujours fait partie des deux types d’incidents vrais positifs les plus détectés. Pourtant, elle se retrouve en 3e position cette année, avec 12,98 %. La catégorie « Utilisation abusive » est la 2e action malveillante la plus souvent détectée avec 16,61 %, un chiffre conforme à celui de l’an dernier. Les incidents de la catégorie « Erreur de système » (7,33 %) occupent à nouveau la 4e position et l’Ingénierie sociale (7,15 %) complète le top 5.
Les données indiquent que 37,45 % des incidents détectés dans les organisations proviennent d’acteurs internes, même si la majorité d’entre eux sont dus à des acteurs externes (43,6 %). Les actifs les plus touchés par ces incidents étaient les appareils des utilisateurs finaux (27,7 %), suivis par les serveurs (27,34 %).
Nous démontrons également que si la quantité d’incidents signalés à nos clients a diminué proportionnellement au fil des années, leur niveau de qualification a augmenté. Ce constat se vérifie à travers le nombre « d’événements inconnus » qui passe de 15,33 % pour les clients intégrés depuis 1 à 10 mois à seulement 4,10 % pour les clients intégrés depuis 41 à 50 mois. Ce résultat découle selon nous de l’ajustement de la détection, d’une analyse plus rigoureuse et d’autres améliorations du service. Par ailleurs, plus nos clients gagnent en maturité au sein du service, plus ils sont en mesure d’agir face aux événements que nous signalons et d’affiner leur processus pour nous fournir des retours. La qualité des retours nous permet de procéder à un ajustement précis et d’améliorer l’efficience de la détection, cycle après cycle.
« Cette année, le rapport met en évidence l'environnement imprévisible auquel nous sommes confrontés comme en témoigne l’activité sans précédent de nos équipes qui font face à une croissance du nombre d'incidents détectés (+30% d'une année sur l'autre). Concernant les cibles, si nous constatons une augmentation du nombre de grandes entreprises touchées par la cyber-extorsion (40%), les petites et moyennes entreprises représentent tout de même près de la moitié des victimes (48%) », a déclaré Hugues Foulon, CEO d’Orange Cyberdefense
« Avec nos clients, nos équipes et l’ensemble de nos partenaires, nous poursuivons nos actions de sensibilisation au risque cyber dans la perspective de bâtir une société numérique plus sûre. Nous nous adaptons aux nouvelles technologies et nous nous préparons aux nouveaux acteurs de la menace en continuant d'anticiper, de détecter et de contenir les attaques lorsqu'elles émergent", conclut Hugues Foulon