D'après le Global Threat Report 2024 de CrowdStrike, les fuites de données imputables à des ransomwares ont augmenté de 82 %, et les intrusions interactives de 45 %. Internet regorgeant de statistiques de ce genre, il est facile de se perdre dans tous ces chiffres. Mais gardez toujours à l'esprit que derrière chaque cyberattaque se cache un cybercriminel en chair et en os.
Apprenez à connaître votre ennemi ! Pour garder une longueur d'avance sur les cyberattaquants et protéger votre réseau, il est important de comprendre qui sont vos adversaires.
Qu'est-ce qu'un cyberattaquant ?
Un cyberattaquant, également connu sous le nom de cybercriminel, cyberadversaire, cyberpirate ou auteur de menace, est une personne ou une organisation malveillante qui cause intentionnellement du tort au sein de l'environnement numérique. Il exploite les failles des ordinateurs, des réseaux et des systèmes pour perpétrer des attaques dévastatrices à l'encontre de particuliers ou d'entreprises.
La plupart des gens connaissent le terme « cybercriminel », qu'ils associent au malfaiteur derrière une attaque de ransomware et aux données personnelles divulguées sur le Dark Web. Le terme « cyberattaquant » inclut les cybercriminels, mais a un sens beaucoup plus large. Les idéologues tels que les cyberactivistes, les cyberterroristes, les utilisateurs internes et même les trolls Internet appartiennent tous à la catégorie des cyberattaquants.
Cibles des cyberattaquants
La plupart des cyberattaquants ne font aucune discrimination à l'heure de choisir leurs cibles. Ils cherchent des vulnérabilités à exploiter plutôt que des personnes à cibler. En fait, les escrocs de masse et les pirates recourant à des outils automatisés attaquent un maximum de systèmes et se propagent ensuite de réseau en réseau, à l'instar d'une infection.
Certains cybercriminels sont qualifiés de « chasseurs de gros gibier » et d'auteurs de « menaces persistantes avancées ». Ils s'en prennent intentionnellement à des cibles de premier plan bien précises. Ils prennent le temps d'étudier leur victime et lancent des attaques spécifiques qui ont plus de chances d'aboutir.
Un danger omniprésent
Personne n'est à l'abri d'une cyberattaque. Les cyberattaquants s'en prennent tant aux particuliers qu'aux entreprises. En fait, selon une étude réalisée par l'Université du Maryland, une cyberattaque se produirait toutes les 39 secondes.
Qui plus est, les cyberattaquants évoluent aussi rapidement que les outils de cybersécurité. Vous avez beau maintenir les solutions antimalware de votre entreprise à jour, les cybercriminels élaborent chaque jour de nouvelles méthodes d'attaque. Vous pouvez toutefois utiliser la cyberveille pour prendre des décisions de sécurité plus rapides, mieux informées et plus percutantes face aux cyberattaquants.
2024 CrowdStrike Global Threat Report: résumé
Le Global Threat Report 2024 de CrowdStrike s’appuie sur les observations des experts de l’équipe CrowdStrike spécialisée dans la lutte contre les cyberadversaires. Il passe en revue les thèmes, tendances et événements marquants du paysage des cybermenaces.
TéléchargerTypes de cyberattaquants
On distingue plusieurs types d'acteurs malveillants. La plupart appartiennent à la catégorie des cybercriminels, comme les escrocs, les « thrill seekers » (pirates informatiques qui accèdent de manière illicite à un ordinateur juste pour le défi) et les idéologues. Deux types de cyberattaquants doivent toutefois être classés à part : les utilisateurs internes malveillants et les cyberattaquants à la solde d'États.
Menaces internes
Les menaces internes sont difficiles à identifier et à prévenir dans la mesure où elles trouvent leur origine au sein même du réseau ciblé. Une menace interne n'a pas besoin de déjouer les défenses de l'entreprise pour voler des données ou commettre d'autres types de cybercrimes. Elle peut être le fait d'un employé, d'un consultant, d'un membre de la direction ou de toute autre personne disposant d'un accès privilégié au système.
Selon le rapport d'enquête 2021 sur les compromissions de données de Verizon, les menaces internes sont à l'origine de plus de 20 % des compromissions de données. La plupart de ces compromissions résultent d'une utilisation abusive des privilèges, qui est le type de menace qui prend le plus de temps à identifier. Comme les menaces internes n'ont pas besoin de forcer l'accès au système, elles ne déclenchent pas toujours des alertes de cybersécurité.
Cyberattaquants à la solde d'États
Les cyberattaquants à la solde d'États sévissent au niveau national et ciblent généralement des secteurs tels que le nucléaire, les finances et les technologies. Ce type de menace est généralement en lien avec les services secrets nationaux ou les services militaires, ce qui signifie que leurs auteurs sont hautement formés et extrêmement furtifs et bénéficient de la protection juridique de leur pays. Parfois, les États font appel à des organisations étrangères. Celles-ci ne possèdent pas toujours l'expertise pour traverser les défenses d'un SOC (Security Operation Center), mais les États peuvent décliner toute responsabilité.
En plus de collecter des renseignements, les cyberattaquants à la solde d'États peuvent mener des attaques ciblant des infrastructures critiques ou des opérations de sabotage.
Motivations des cyberattaquants
Les cyberattaquants et les auteurs de menaces persistantes avancées poursuivent généralement un même objectif : gagner de l'argent. Pour ce faire, ils se procurent des données en vue de les revendre à des tiers ou exploitent directement une victime au moyen d'une attaque de ransomware.
Les utilisateurs internes peuvent suivre l'exemple d'autres cybercriminels et revendre des informations à la concurrence. Ils peuvent également avoir des motivations plus personnelles. Par exemple, en cas de grief envers leur employeur ou leur entreprise, ils peuvent décider de compromettre le réseau à des fins de vengeance. Selon Verizon, 17 % des menaces internes sont motivées uniquement par une envie de sensations fortes. Enfin, les utilisateurs internes qui envisagent de monter leur propre entreprise peuvent dérober des données de l'entreprise pour obtenir un avantage concurrentiel.
Les cyberattaquants à la solde d'États ont des motivations à caractère politique ou nationaliste. Ils cherchent principalement à améliorer le contre-espionnage de leur pays. Cependant, ils peuvent également poursuivre des objectifs plus sombres, comme l'espionnage, la désinformation et la propagande, voire l'ingérence avec des entreprises, des dirigeants ou des infrastructures de premier plan. Quel que soit le but poursuivi, les cyberattaquants à la solde d'États bénéficient du soutien de leur pays et d'une protection pour leurs crimes.
Les terroristes et les cyberactivistes ont, eux aussi, une motivation politique, mais n'agissent pas au niveau national. Les cyberactivistes cherchent à répandre leurs idées et leurs croyances personnelles, généralement enracinées dans un problème social ou politique. Les terroristes cherchent, quant à eux, à semer le chaos et la peur pour atteindre leurs objectifs.
Comment garder une longueur d'avance sur les cyberattaquants ?
La plupart des cyberattaquants obtiennent un accès grâce au phishing. Ils envoient des e-mails en apparence officiels invitant l'utilisateur à modifier son mot de passe ou à se connecter à des pages de connexion fictives conçues pour voler les identifiants. S'il est peu probable que vos collaborateurs se laissent encore duper par l'arnaque nigériane, il existe d'autres méthodes de phishing, toujours plus sophistiquées. Tant que la possibilité d'une erreur humaine existe, votre entreprise est susceptible de tomber dans le piège de n'importe quel cybercriminel.
Éviter les cyberattaques
Plusieurs bonnes pratiques permettent d'éviter de s'exposer aux cyberattaquants, notamment :
- Former les collaborateurs à la cybersécurité afin de limiter les erreurs humaines
- Utiliser l'authentification multifacteur et changer régulièrement les mots de passe pour protéger les données
- Surveiller les activités des collaborateurs afin d'identifier les éventuelles menaces internes
- Installer un logiciel de cybersécurité pour bloquer les utilisateurs malveillants
Vous devez également éviter toutes sortes d'attaques de phishing. Méfiez-vous de tout e-mail demandant une réaction rapide. En outre, veillez à maintenir tous vos terminaux à jour et à les placer sur des réseaux protégés. Tout terminal connecté à Internet est susceptible de devenir un point faible de votre dispositif de défense.
Quels systèmes mettre en place ?
Vous pouvez mettre en place des systèmes de protection simples tels qu'un VPN et un réseau pour les invités afin de limiter l'accès des utilisateurs invités aux données sensibles et aux terminaux. Par ailleurs, il est conseillé d'avoir un plan d'intervention en place au cas où une attaque aboutirait.
La meilleure défense se doit d'être offensive. Au lieu de réagir à une attaque une fois que votre système est compromis, adoptez une démarche proactive fondée sur le Threat Hunting. Le Threat Hunting consiste en une approche pilotée par l'homme dans le cadre de laquelle des threat hunters recherchent, analysent et bloquent de manière proactive les logiciels malveillants dès qu'ils détectent une activité inhabituelle. L'équipe de sécurité est ainsi à même de bloquer les cyberattaques avant qu'elles ne provoquent des dommages irréparables.
Se protéger des cyberattaquants
Vous pourriez en ce moment même être la cible de cyberattaquants. Ripostez directement ! Pour vous protéger contre tous les types de cyberattaques, familiarisez-vous avec les différents types de menaces auxquels vous êtes exposés et mettez directement en place des mesures de sécurité actives et efficaces.
Découvrez CrowdStrike Falcon X™, notre solution de cyberveille automatisée qui intègre des fonctionnalités de Threat Hunting et de prévention des cyberattaques.