Cybersécurité : à quoi doit-on s'attendre en 2022 ?

En 2021, il y a eu une forte augmentation du nombre de cybercriminels surfant sur la vague des ransomwares, de pays utilisant le cyberespace pour influencer la politique des États et, bien sûr des vulnérabilités logicielles. Tous ces facteurs combinés ont multiplié les brèches.

Le "pic des ransomwares" n’a pas encore été atteint

En 2021, les exploitants de ransomwares ont continué à faire preuve d'un manque attendu de scrupules. De nombreuses attaques très médiatisées ont montré qu’ils se saisissaient de toutes les occasions pour faire du profit. En 2022, il faut s’attendre à ce que des vulnérabilités hautement critiques telles que log4j, qui a exposé d’innombrables environnements et a gâché les fêtes de fin d’année d’un bon nombre de RSSI, fasse souvent la une des journaux.

L'année écoulée a également vu le développement accéléré de malwares écrits dans les langages de programmation Rust et Go (tels que BlackCat/AlphaVM, RansomEXX ou ElectroRAT). L'un des principaux avantages de cette pratique est sa compatibilité multiplateforme, ce qui va certainement accélérer la tendance en 2022, avec l’émergence d’un nombre encore plus important de nouvelles familles de de ce type de malwares.

Les attaques sur les établissements de santé (hôpitaux, centres de recherche médicale, cliniques privées) resteront également un problème majeur. Si, en apparence, de nombreux hackers prétendent éviter d'attaquer ce type d’établissements, la réalité est toute autre. De nombreux ransomwares continuent d’infecter ces environnements, coûtant parfois des vies. En 2022, ces organisations, visées par des opérations de ransomware agressives et sans scrupule, ne connaitront aucun répit et ce, quel que soit l'impact sur la sécurité publique.

Les dépendances logicielles : le maillon le plus faible

Depuis fin 2020 avec SolarWinds, jusqu'à fin 2021 avec Log4j2, tous les signaux sont au rouge : les dépendances logicielles sont un vecteur majeur et le point faible pour les attaques sur la chaîne logistique. La probabilité que des composants logiciels largement utilisés soient sécurisés dès leur 1ère utilisation est très faible. Même avec les meilleures intentions possibles, ceux qui créent et partagent des applications, des plug-ins et autres codes utilitaires sont rarement focalisés sur la sécurité. En outre, le nombre d’entreprises qui testent et évaluent chaque logiciel pénétrant dans leur réseau est souvent très limité. 2022 représente à la fois une opportunité et une menace : soit les entreprises continueront comme si de rien n’était, en attendant la prochaine attaque ou vulnérabilité, soit elles devront s’attaquer au problème en optant pour une technologie apportant plus de visibilité sur l'ensemble des interactions de leurs systèmes d’information. Malheureusement, il est peu probable que les équipes SOC et administrateurs surmenés puissent choisir cette voie-là.

Les APTs passent à la vitesse supérieure

Les chercheurs en cybersécurité peuvent facilement s’enthousiasmer face à des opérations « tape-à-l'œil » et innovantes. Il est facile d'oublier que le terme "APT" est un acronyme (Advanced Persistent Threat) qui désigne une cyberattaque prolongée et ciblée par laquelle une entité non autorisée (qui peut être un État) accède au réseau (d’un pays adverse) et passe inaperçue pendant une longue période. Après tout, certaines des APTs les plus importantes existent depuis près d'un quart de siècle.

Bon nombre de ces États ont des objectifs précis à atteindre et, contrairement à ce que pensent les chercheurs en sécurité, ils n’ont pas pour objectif premier d’impressionner mais de passer inaperçus pour arriver à leurs fins.

Au cours de l'année écoulée, un certain nombre de ces pays a appliqué une formule éprouvée qui affirme qu’être ordinaire, voire insignifiant (du moins dans la 1ère phase de l’opération) augmente inévitablement le retour sur investissement. Lorsqu’un APT se livre à un vol de propriété intellectuelle sans exploit zero-day, il lui est plus facile de se fondre dans la masse. Combien de chasseurs de menaces se consacreront à la traque de ces APTs furtifs alors qu'il existe des attaques bien plus clinquantes sur lesquelles se concentrer et écrire sur les blogs ?

L'année 2022 risque de nous faire glisser davantage vers les aspects les plus banals du cyberespionnage - comme un assaut continu mais furtif auquel nous nous sommes habitués et qui passe inaperçu.

Les entreprises d'espionnage privé vont continuer à prospérer

Les entreprises d'espionnage privé connaîtront de nombreux revers en raison de l'attention accrue dont elles ont fait l'objet l'année dernière, mais cela ne les dissuadera pas d’agir et n'empêchera pas la croissance de ce commerce, lucratif et recherché. Les chercheurs découvriront sans doute de nouvelles entreprises, moins connues, qui vendent des technologies et des ressources de surveillance onéreuses dans le monde entier, sans se soucier de l'impact sur le monde réel.

Alors que certaines entreprises bien connues - telles que la société russe Positive Technologies, la société singapourienne Computer Security Initiative Consultancy, la société israélienne Candiru et, peut-être plus célèbre encore, le groupe NSO - ont fait l'objet de sanctions lourdes et d'une couverture médiatique négative en 2021, on peut s’attendre à ce que ces entreprises, et d'autres, changent de nom, se divisent... pour mieux multiplier leur profit. Ce type d'activité ne disparaîtra pas en 2022.

Sécuriser le cloud des entreprises

Les entreprises vont devoir adopter plus rapidement la sécurité "cloud native", car la confidentialité des données clients sur les serveurs cloud sera mise à l'épreuve. Le vol d’identité dans le cloud va se poursuivre et des ransomwares natifs du cloud seront utilisés, en abusant de permissions trop larges et de vols d’identité. 

L'Active Directory sur site (on premise) continuera à disparaître au profit de l'Active Directory d'Azure. Plus les sociétés de gestion de sécurité des identités, comme Okta et JumpCloud, seront plébiscitées, plus elles attiseront l’intérêt de cybercriminels cherchant à cibler un grand nombre de victimes en même temps.

Du point de vue des défenseurs, les solutions de sécurité API vont devenir une nécessité. L'adoption de XDR va se développer via les MSSP, obligeant les chasseurs de menaces à automatiser leurs processus. Ces solutions permettront de couvrir les nouvelles sources de données et permettront de faire face aux menaces actuelles.

Davantage d'attaques ciblées sur les Macs (et autres appareils Apple)

Sans surprise, et comme prédit l'année dernière, il y a eu une recrudescence de vulnérabilités macOS et iOS en 2021, en raison de l'intérêt grandissant porté aux plateformes Apple par les chercheurs en sécurité et les hackers. L'exploit Forcedentry développé par Pegasus, le logiciel d'espionnage du groupe NSO pour infiltrer certains terminaux Apple, a d’ailleurs beaucoup fait parler de lui l’année dernière. En parallèle, bien que les Macs n'aient jamais été très développés au sein des entreprises, ils sont hautement appréciés par les développeurs et cadres, une cible de choix pour les cybercriminels. Par ailleurs, la question de la sécurité d'iOS et de macOS est terriblement sous-estimée par les utilisateurs d'Apple, y compris dans les entreprises. Alors que les utilisateurs de Mac ont la possibilité d'installer des produits EDR tiers pour détecter et se protéger des malwares, peu d'entre eux choisissent de le faire, persuadés que les Macs sont sécurisés dès leur conception. Se laissant bercer par l'idée que les systèmes de protection intégrées aux Macs (antivirus XProtect, technologies Gatekeeper et Notarization), mais pourtant régulièrement contournées, sont suffisants, les utilisateurs et leurs entreprises se rendent eux-mêmes vulnérables aux attaques.

L'histoire récente a montré que les cybercriminels disposant des plus grandes ressources (donc les États) sont prêts à les dépenser pour cibler les dissidents, journalistes et opposants politiques. Qu'il s'agisse d'acheter des logiciels espions NSO comme Pegasus ou de créer des portes dérobées spécifiques aux Macs comme macOS.Macma, les gouvernements (ou leurs mandataires) ont été jusqu'à présent le principal vecteur des attaques ciblées contre les plateformes Apple. Et là où les États vont, les criminels suivent rapidement. Ces différents facteurs conduiront à davantage d'attaques ciblées de grande envergure contre les utilisateurs d'appareils Apple en 2022. 

Les entreprises constituent la première et la dernière ligne de défense et doivent rester concentrées sur leur croissance et leur expansion commerciale. Mais elles doivent également être vigilantes face aux forts risques potentiels émanant des cyberattaques (vol de données, atteinte à la réputation, perte de confiance, dégâts financiers, voire impacts humains…). Quels que soient les défis de 2022, elles vont devoir prendre des mesures préventives significatives, apporter une réponse automatisée et systématique aux incidents et avoir un plan de reprise rigoureux en cas de sinistre liée à une cyberattaque.