Les erreurs humaines et les ransomwares dominent les failles de sécurité en France

Le rapport Verizon Data Breach Investigations Report (DBIR) 2024, publié récemment, révèle une tendance inquiétante dans le domaine de la cybersécurité, en constante évolution.

L'augmentation drastique de l'exploitation des vulnérabilités comme cause des failles de sécurité, qui a augmenté de 180 % au niveau mondial par rapport à l'année précédente, est particulièrement frappante. Les résultats les plus importants du DBIR 2024 sont présentés ci-dessous, ainsi qu'un aperçu de la situation générale de la cybersécurité en France.

Exploitation des vulnérabilités et du facteur humain

Selon le rapport, le nombre de failles de sécurité causées par l'exploitation de vulnérabilités a presque triplé. Qu'il s'agisse de vulnérabilités "zero day" ou "non zero day", au total, 14% des intrusions sont imputables à l'exploitation de vulnérabilités. Les informations d'identification (38 %) et l'hameçonnage (15%) représentent également une part importante des tentatives d'intrusion.

Les rançongiciels restent un problème majeur et sont présents dans environ une infraction sur trois, mais c'est l'élément secondaire de l'extorsion - le vol de données et la menace de les divulguer - qui est à l'origine de la tendance à la hausse. Les demandes de rançon à la suite d'un chiffrement restent stables à un peu moins d'une infraction sur quatre.

Le type d'attaque sans doute le plus complexe - l'intrusion dans le système (SI) - reste le principal type d'attaque pour 7 des 10 principaux secteurs ciblés, mais il figure parmi les 3 principaux types d'attaque pour l'ensemble des 10 principaux secteurs. 70% des incidents d'intrusion sont des ransomwares/extorsions. Les entreprises doivent être prêtes à faire face à l'inévitable de ces attaques, d'où la nécessité d'une préparation et d'un test continu de la réponse à l'incident.

Surmonter ces menaces reste un défi majeur pour les entreprises. Une analyse du catalogue des vulnérabilités connues et exploitées ("Known Exploited Vulnerabilities", KEV) par l'Agence pour l'infrastructure et la sécurité de la cybersécurité (CISA) a montré qu'il faut en moyenne 55 jours aux entreprises pour corriger 50 % des vulnérabilités critiques après le déploiement des correctifs. Parallèlement, le délai moyen de détection d'une exploitation massive des vulnérabilités connues de la CISA sur internet est de 5 jours.

Une autre constatation inquiétante est le rôle du facteur humain dans les atteintes à la sécurité. Plus de deux tiers (68 %) des atteintes à la sécurité sont dues à des erreurs humaines non malveillantes. Une meilleure sensibilisation et une meilleure formation à la sécurité pourraient contribuer à réduire considérablement ces violations. La bonne nouvelle, c'est qu'avec l'intégration de la sensibilisation dans le tissu sécuritaire, il a été constaté une augmentation de 20 % du nombre d'utilisateurs signalant des cas de simulation d'hameçonnage.

Fournisseurs externes, chaînes d'approvisionnement en logiciels et techniques d'extorsion

Le DBIR 2024 montre également une menace croissante de la part des fournisseurs tiers. 15% des failles de sécurité impliquent des fournisseurs extérieurs, soit une augmentation de 68% par rapport à l'année précédente. Il peut s'agir de vulnérabilités dans l'infrastructure des gestionnaires de données, des partenaires d'hébergement et dans la chaîne d'approvisionnement en logiciels.

La fréquence des attaques traditionnelles par rançongiciel a légèrement diminué pour atteindre 23%, mais ces techniques sont toujours utilisées dans environ un tiers (32%) de l'ensemble des atteintes à la sécurité. L'augmentation du nombre d'attaques par rançongiciels souligne la menace que représente cette forme de cybercriminalité. Cette tendance inquiétante se reflète également en France. En 2024, la France est confrontée à une intensification des menaces, notamment avec l’essor des attaques par des logiciels rançonneurs et d’hameçonnages ainsi que par des failles de données en forte évolution également dues à l’utilisation croissante de l’IA, à la fois comme outil de défense et de cible cybercriminels.

Mesures et recommandations

Face à ces menaces, il est essentiel pour les entreprises en France et dans le monde entier d'améliorer en permanence leurs stratégies de cybersécurité. Il s'agit notamment de :

  • Accroître la sensibilisation à la sécurité : Des formations périodiques et des mesures de sensibilisation pour les employés afin d'augmenter le taux de détection et de signalement des tentatives d'hameçonnage. La sensibilisation nécessite également d'étendre l'effort au-delà des équipes de sécurité et de s'engager étroitement avec les RH, le service juridique, les ventes et le marketing pour traiter les risques centrés sur l'humain.
  • Renforcer les processus de gestion des correctifs : Identifier et corriger rapidement les vulnérabilités pour minimiser la surface d'attaque, y compris la quantification des risques et la consolidation de la pile de sécurité dans une plateforme unifiée pour permettre une meilleure visibilité.
  • Collaboration avec des fournisseurs tiers : Renforcer les mesures de sécurité tout au long de la chaîne d'approvisionnement et travailler en étroite collaboration avec les partenaires pour combler les lacunes en matière de sécurité.

Et enfin :

  • Exploiter la palette technologique pour améliorer la "visibilité étendue" : Ce domaine essentiel concerne la visibilité et l'analyse, qui sont cruciales pour la gestion proactive des vecteurs de type "zero-day". Le niveau de maturité progresse de la détection contextuelle, basée sur les logs et les paquets, à une détection et une analyse plus avancée des modèles de comportement qui indiquent une activité malveillante avec l'exploitation de Gen AI (génération d'artefacts, mesure de la syntaxe, playbooks, etc.) pour les opérations de sécurité et l'aide à la connexion rapide du triage de bout en bout en incorporant les identités humaines et non humaines pour obtenir une perspective complète.

Le DBIR 2024 de Verizon montre clairement que les menaces de cybercriminalité continuent d'augmenter et de se complexifier. Les organisations doivent être proactives pour renforcer leurs mesures de sécurité et se tenir au courant des dernières technologies. En combinant protection technique, formation et collaboration stratégique, elles peuvent améliorer considérablement leur résilience aux cyberattaques et mieux s'armer contre les menaces futures.

La surveillance continue et l'adaptation aux nouvelles menaces restent essentielles pour rester en sécurité dans un paysage de la cybersécurité en constante évolution. Le DBIR 2024 est un signal d'alarme important et un outil utile pour les organisations qui cherchent à concevoir et à mettre en œuvre efficacement leurs stratégies de cybersécurité.