Il faut moins d’une journée à des cyberattaquants pour atteindre l’Active Directory, l’un des actifs les plus critiques pour une entreprise

La grande majorité des attaques de ransomwares se produisent en dehors des heures de bureau

Paris, France — août 23, 2023 —

Sophos, un leader mondial de la cybersécurité innovante « as a Service », publie son étude Active Adversary Report for Tech Leaders 2023, une analyse approfondie des comportements et outils des auteurs de cyberattaques au premier semestre 2023. L’analyse de cas de réponse aux incidents (IR) Sophos de janvier à juillet 2023 par Sophos X-Ops révèle que le temps médian d’exposition d’une attaque – le délai qui s’écoule entre son début et sa détection – s’est réduit de 10 à 8 jours pour tous les types d’attaques, et même 5 jours pour les attaques de ransomwares. En 2022, le temps médian d’exposition était déjà descendu de 15 à 10 jours.

En outre, Sophos X-Ops a découvert qu’il faut en moyenne moins d’une journée – environ 16 heures – aux auteurs d’une attaque pour atteindre l’Active Directory, l’un des actifs les plus critiques pour une entreprise. L’Active Directory gère généralement les identités et les accès des ressources au sein de l’entreprise, ce qui permet à des cyberattaquants de facilement rehausser leurs privilèges sur un système pour pouvoir s’y connecter et se livrer à diverses activités malveillantes. 

« L’attaque de l’infrastructure Active Directory d’une entreprise est pertinente du point de vue des cybercriminels, car il s’agit en général du système le plus puissant et privilégié sur le réseau, leur donnant un large accès à des systèmes, applications, ressources et données qu’ils pourront ensuite exploiter. Un cyberattaquant qui prend le contrôle de l’Active Directory peut prendre celui de l’entreprise. L’impact, l’escalade et les coûts de récupération d’une attaque contre l’Active Directory expliquent pourquoi celui-ci est ciblé », commente John Shier, Field CTO chez Sophos.

 « L’accès et la prise de contrôle du serveur de l’Active Directory dans le cadre de la chaîne d’attaque offrent plusieurs avantages aux cyberattaquants. Ceux-ci peuvent ainsi passer inaperçus afin de préparer leur coup suivant, et, une fois prêts à passer à l’action, ils pourront déferler sans entrave sur le réseau de leur victime. »

« La récupération totale d’un domaine piraté peut être longue et ardue. Ce type d’attaque endommage les fondements de la sécurité sur lesquels repose l’infrastructure d’une entreprise. Bien souvent, le succès d’une attaque Active Directory contraint l’équipe de sécurité à repartir de zéro. »

Le temps d’exposition des attaques de ransomwares a lui aussi reculé. Celles-ci sont le type d’attaque le plus répandu (69 %) parmi les cas d’IR analysés et leur temps médian d’exposition est d’à peine cinq jours. Dans 81 % des attaques de ransomwares, la charge malveillante finale a été lancée en dehors des heures de bureau classiques. Pour celles lancées pendant les heures de bureau, seules cinq se sont produites en semaine. 

Le nombre des attaques détectées augmente à mesure que la semaine avance, plus particulièrement dans le cas des attaques de ransomwares. Près de la moitié (43 %) d’entre elles sont détectées le vendredi ou le samedi. 

« D’une certaine manière, nous sommes victimes de notre propre succès. Alors que progresse l’adoption de technologies telles que XDR et de services tels que MDR, il en va de même pour notre capacité à détecter les attaques plus vite. La réduction des délais de détection se traduit par une réponse plus rapide, et donc par une fenêtre d’action plus étroite pour les cyberattaquants. Dans le même temps, ceux-ci affûtent leurs stratégies, en particulier les affiliés chevronnés et pleins de ressources des groupes de ransomwares, qui ne cessent d’accélérer leurs attaques bruyantes face à des défenses renforcées. »

« Cela ne veut pas dire que notre sécurité collective en soit renforcée pour autant. J’en veux pour preuve la stabilisation des temps d’exposition des attaques autres que les ransomwares. Les cyberattaquants parviennent toujours à s’introduire dans nos réseaux et, lorsque le temps ne presse pas, ils ont tendance à s’y attarder. Or tous les outils du monde ne vous sauveront pas si vous ne les surveillez pas. Il vous faut associer les bons outils à une surveillance continue et proactive pour mener la vie dure aux cybercriminels. C’est là où notre service MDR peut véritablement combler le retard entre cyberattaquants et cyberdéfenseurs, car, même lorsque vous ne surveillez pas, nous le faisons pour vous », conclut John Shier.

L’étude Sophos Active Adversary Report for Tech Leaders s’appuie sur les investigations de réponse aux incidents (IR) menées par Sophos à travers le monde, dans 25 secteurs d’activité de janvier à juillet 2023. Les entreprises ciblées se répartissent dans 33 pays sur six continents. 88 % des cas concernent des entreprises de moins de 1000 salariés. 

L’étude Sophos Active Adversary Report for Business Leaders fournit aux professionnels de la sécurité des informations exploitables issues de la veille des menaces ainsi que des analyses nécessaires pour la mise en œuvre optimale de leur stratégie de sécurité.

Pour en savoir plus sur les comportements, outils et techniques des cyberattaquants, lire l’étude Time Keeps on Slippin’ Slippin’ Slippin’: The 2023 Active Adversary Report for Tech Leaders sur Sophos.com.

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.