Les causes premières les plus répandues des attaques sont des vulnérabilités non corrigées et le piratage d’identifiants, tandis que les ransomwares demeurent l’objectif final le plus courant

Le temps d’exposition – le délai qui s’écoule entre le début d’une attaque et sa détection – a été ramené de 15 à 10 jours

Paris — avril 25, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie son étude Active Adversary Report for Business Leaders, une analyse approfondie de l’évolution des comportements et techniques des auteurs de cyberattaques en 2022. Les données, tirées de plus de 150 cas de réponse aux incidents (IR) par les services de Sophos, ont permis d’identifier plus de 500 outils et tactiques distincts, dont 118 exécutables de type LOLBins (Living off the Land Binaries). Ces derniers, à la différence des malwares, se trouvent de manière naturelle dans les systèmes d’exploitation, ce qui les rend bien plus difficiles à bloquer lorsqu’ils sont exploités à des fins malveillantes.

En outre, Sophos a constaté que les vulnérabilités non corrigées sont la cause première la plus courante de l’accès initial des cyberattaquants aux systèmes ciblés. De fait, dans la moitié des investigations incluses dans l’étude, les auteurs des attaques ont exploité les failles ProxyShell et Log4Shell – datant de 2021 – pour s’infiltrer dans des entreprises. La deuxième cause la plus répandue des cyberattaques est le piratage d’identifiants.

« Aujourd’hui, lorsque les cyberattaquants ne s’introduisent pas par effraction, ils se connectent au moyen d’identifiants volés. La réalité est que le paysage des menaces a gagné en volume et en complexité à tel point qu’il n’existe aucune brèche discernable dont les équipes de cyberdéfense puissent profiter. Pour la plupart des entreprises, l’époque où elles pouvaient faire cavalier seul est bien révolue. Le problème touche véritablement tout, partout et tout à la fois. Cependant, des outils et services sont à la disposition des entreprises pour alléger certaines des tâches défensives, leur permettant de se concentrer en priorité sur leur cœur de métier », commente John Shier, Field CTO Commercial chez Sophos.

Plus de deux tiers (68 %) des attaques analysées par l’équipe Sophos IR font intervenir des ransomwares, ce qui démontre que ceux-ci demeurent l’une des menaces les plus omniprésentes pour les entreprises. Les ransomwares figuraient également dans près de trois quarts des investigations menées par Sophos IR au cours des trois dernières années.

Tandis que les ransomwares continuent de dominer le paysage des menaces, le temps d’exposition a baissé en 2022, ramené de 15 à 10 jours, pour tous les types d’attaques. Il est passé de 11 à 9 jours dans le cas des ransomwares mais a reculé plus nettement encore pour les autres attaques (de 34 jours en 2021 à seulement 11 jours en 2022). Toutefois, contrairement aux années précédentes, aucune variation significative n’a été observée dans les temps d’exposition entre des entreprises ou secteurs de différentes tailles.

« Les entreprises qui ont réussi à mettre en place des défenses à plusieurs niveaux, assorties d’une surveillance constante, enregistrent de meilleurs résultats en ce qui concerne la gravité des attaques. Corollaire de ce renforcement des défenses, les cyberattaquants doivent passer à la vitesse supérieure. En conséquence, il faut détecter plus tôt ces attaques plus rapides. La course entre les cyberattaquants et les équipes de cyberdéfense va continuer de s’intensifier et ce sont les entreprises dépourvues d’une surveillance proactive qui en subiront les plus lourdes conséquences », conclut John Shier.

L’étude Sophos Active Adversary Report for Business Leaders s’appuie sur 152 investigations de réponse aux incidents (IR) à travers le monde, dans 22 secteurs d’activité. Les entreprises ciblées se répartissent dans 31 pays : Etats-Unis, Canada, Royaume-Uni, Allemagne, Suisse, Italie, Autriche, Finlande, Belgique, Suède, Roumanie, Espagne, Australie, Nouvelle-Zélande, Singapour, Japon, Hong Kong, Inde, Thaïlande, Philippines, Qatar, Bahreïn, Arabie saoudite, Émirats Arabes Unis, Kenya, Somalie, Nigeria, Afrique du Sud, Mexique, Brésil, Colombie. Les secteurs les plus représentés sont l’industrie (20 %), suivie de la santé (12 %), de l’éducation (9 %) et du commerce (8 %).

L’étude Sophos Active Adversary Report for Business Leaders fournit aux entreprises des informations exploitables issues de la veille des menaces ainsi que des analyses nécessaires pour l’optimisation de leur stratégie de sécurité et de leurs défenses.

Pour en savoir plus sur les comportements, outils et techniques des cyberattaquants, lire l’étude Active Adversary Report for Business Leaders, sur Sophos.com.

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.