Les causes premières les plus répandues des attaques sont des vulnérabilités non corrigées et le piratage d’identifiants, tandis que les ransomwares demeurent l’objectif final le plus courant

Le temps d’exposition – le délai qui s’écoule entre le début d’une attaque et sa détection – a été ramené de 15 à 10 jours

Paris — avril 25, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie son étude Active Adversary Report for Business Leaders, une analyse approfondie de l’évolution des comportements et techniques des auteurs de cyberattaques en 2022. Les données, tirées de plus de 150 cas de réponse aux incidents (IR) par les services de Sophos, ont permis d’identifier plus de 500 outils et tactiques distincts, dont 118 exécutables de type LOLBins (Living off the Land Binaries). Ces derniers, à la différence des malwares, se trouvent de manière naturelle dans les systèmes d’exploitation, ce qui les rend bien plus difficiles à bloquer lorsqu’ils sont exploités à des fins malveillantes.

En outre, Sophos a constaté que les vulnérabilités non corrigées sont la cause première la plus courante de l’accès initial des cyberattaquants aux systèmes ciblés. De fait, dans la moitié des investigations incluses dans l’étude, les auteurs des attaques ont exploité les failles ProxyShell et Log4Shell – datant de 2021 – pour s’infiltrer dans des entreprises. La deuxième cause la plus répandue des cyberattaques est le piratage d’identifiants.

« Aujourd’hui, lorsque les cyberattaquants ne s’introduisent pas par effraction, ils se connectent au moyen d’identifiants volés. La réalité est que le paysage des menaces a gagné en volume et en complexité à tel point qu’il n’existe aucune brèche discernable dont les équipes de cyberdéfense puissent profiter. Pour la plupart des entreprises, l’époque où elles pouvaient faire cavalier seul est bien révolue. Le problème touche véritablement tout, partout et tout à la fois. Cependant, des outils et services sont à la disposition des entreprises pour alléger certaines des tâches défensives, leur permettant de se concentrer en priorité sur leur cœur de métier », commente John Shier, Field CTO Commercial chez Sophos.

Plus de deux tiers (68 %) des attaques analysées par l’équipe Sophos IR font intervenir des ransomwares, ce qui démontre que ceux-ci demeurent l’une des menaces les plus omniprésentes pour les entreprises. Les ransomwares figuraient également dans près de trois quarts des investigations menées par Sophos IR au cours des trois dernières années.

Tandis que les ransomwares continuent de dominer le paysage des menaces, le temps d’exposition a baissé en 2022, ramené de 15 à 10 jours, pour tous les types d’attaques. Il est passé de 11 à 9 jours dans le cas des ransomwares mais a reculé plus nettement encore pour les autres attaques (de 34 jours en 2021 à seulement 11 jours en 2022). Toutefois, contrairement aux années précédentes, aucune variation significative n’a été observée dans les temps d’exposition entre des entreprises ou secteurs de différentes tailles.

« Les entreprises qui ont réussi à mettre en place des défenses à plusieurs niveaux, assorties d’une surveillance constante, enregistrent de meilleurs résultats en ce qui concerne la gravité des attaques. Corollaire de ce renforcement des défenses, les cyberattaquants doivent passer à la vitesse supérieure. En conséquence, il faut détecter plus tôt ces attaques plus rapides. La course entre les cyberattaquants et les équipes de cyberdéfense va continuer de s’intensifier et ce sont les entreprises dépourvues d’une surveillance proactive qui en subiront les plus lourdes conséquences », conclut John Shier.

L’étude Sophos Active Adversary Report for Business Leaders s’appuie sur 152 investigations de réponse aux incidents (IR) à travers le monde, dans 22 secteurs d’activité. Les entreprises ciblées se répartissent dans 31 pays : Etats-Unis, Canada, Royaume-Uni, Allemagne, Suisse, Italie, Autriche, Finlande, Belgique, Suède, Roumanie, Espagne, Australie, Nouvelle-Zélande, Singapour, Japon, Hong Kong, Inde, Thaïlande, Philippines, Qatar, Bahreïn, Arabie saoudite, Émirats Arabes Unis, Kenya, Somalie, Nigeria, Afrique du Sud, Mexique, Brésil, Colombie. Les secteurs les plus représentés sont l’industrie (20 %), suivie de la santé (12 %), de l’éducation (9 %) et du commerce (8 %).

L’étude Sophos Active Adversary Report for Business Leaders fournit aux entreprises des informations exploitables issues de la veille des menaces ainsi que des analyses nécessaires pour l’optimisation de leur stratégie de sécurité et de leurs défenses.

Pour en savoir plus sur les comportements, outils et techniques des cyberattaquants, lire l’étude Active Adversary Report for Business Leaders, sur Sophos.com.

À propos de Sophos

Sophos est un leader mondial et un innovateur dans le domaine des solutions de cybersécurité avancées, qui comprend des services managés de détection et réponse (MDR) et de réponse aux incidents, ainsi qu’un vaste portefeuille de technologies de sécurité qui protègent les systèmes endpoint, les réseaux, les messageries et le Cloud contre les cyberattaques. Sophos est l’un des plus grands fournisseurs de cybersécurité et protège aujourd’hui plus de 500 000 entreprises et plus de 100 millions d’utilisateurs dans le monde contre les adversaires actifs, les ransomwares, le phishing, les malwares, etc. Les services et produits de Sophos sont connectés à travers sa console d’administration Sophos Central basée dans le Cloud et sont alimentés par Sophos X-Ops, l’unité de renseignement sur les menaces transversale de la société. L’intelligence de Sophos X-Ops optimise l’ensemble de l’écosystème de cybersécurité adaptatif (ACE) de Sophos, qui comprend un datalake centralisé exploitant un ensemble riche d’API ouvertes à destination des clients, des partenaires, des développeurs et des autres fournisseurs de cybersécurité et de technologies de l’information. Sophos fournit des services de cybersécurité aux entreprises qui ont besoin de solutions de sécurité clés en main et entièrement gérées. Les clients peuvent également gérer leur cybersécurité directement avec la plateforme d’opérations de sécurité de Sophos ou utiliser une approche hybride en complétant leurs équipes internes avec les services de Sophos, notamment la chasse aux menaces et la remédiation. Sophos vend ses produits par l’intermédiaire d’un réseau mondial de partenaires et de fournisseurs de services gérés (MSP : Managed Service Provider). Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.