Dans le domaine en constante évolution de la sécurité des entreprises, une nouvelle année s’amorce, introduisant un éventail dynamique de menaces émergentes. Alors que la « saison des prévisions » prend de l’ampleur, il est essentiel de réfléchir à l’impact considérable du paysage de la cybersécurité en 2023. L’année dernière a marqué une étape importante, depuis l’avènement de réglementations strictes en matière de cybersécurité jusqu’à la convergence de l’IA générative, de l’ingénierie sociale et des ransomwares.

Revenons sur 2023 en explorant cinq tendances et menaces influentes qui ont façonné le paysage des cybermenaces et qui sont à même de perdurer dans les entreprises en 2024.

Retour sur 2023 – Cybertendances et menaces

IA générative en pleine (r)évolution

On se souviendra de 2023 comme de l’année où l’intelligence artificielle (IA) s’est hissée au premier plan de notre conscience collective, ouvrant la voie à des opportunités et à des risques jamais vus auparavant. La publication d’applications basées sur l’IA générative telles que ChatGPT met en évidence le potentiel de l’IA et de l’apprentissage automatique (AA) pour remodeler le fonctionnement des entreprises. En septembre, l’équipe Zscaler ThreatLabz a mené une analyse des tendances de l’AI/AA et de ChatGPT parmi les entreprises en 2023 et, sans surprise, a découvert des trajectoires ascendantes dans le trafic et l’utilisation de l’IA/AA.

Cette adoption nous amène au revers de la médaille de l’IA générative : les hackers exploitent les outils d’IA pour intensifier et automatiser les campagnes de phishing, créer des malwares extrêmement évasifs et réduire le temps de développement des menaces à tous les niveaux. Les responsables de la sécurité et les entreprises se trouvent à la croisée des chemins, chargés de naviguer délicatement entre l’exploitation sécurisée des avancées évolutives de l’IA tout en faisant face aux défis révolutionnaires imprévus liés à la protection contre les menaces alimentées par l’IA.

Augmentation exponentielle des ransomwares, encore une fois

L’impact généralisé des ransomwares a eu un large écho en 2023. Les recherches de ThreatLabz ont révélé une augmentation de 37 % des attaques de ransomwares, accompagnée d’une demande moyenne de rançon de 5,3 millions de dollars et un paiement moyen dépassant les 100 000 dollars. 2023 a également été marqué par l’essor du RaaS (Ransomware-as-a-Service), un modèle économique où les auteurs ou gangs de ransomwares vendent ou louent leurs services sur le Dark Web. La famille de ransomwares BlackCat Group, ou ALPHV, est apparue comme un contributeur important à cette tendance inquiétante, liée à de nombreuses attaques très médiatisées contre les casinos.

Les gangs de ransomwares sont également devenus plus furtifs en 2023, ThreatLabz observant une augmentation des attaques d’extorsion sans chiffrement. L’absence de chiffrement permet aux hackers d’éliminer les cycles de développement et la prise en charge du déchiffrement et d’exfiltrer discrètement les données avant de demander une rançon.

L’attaque de type « zero day » du ransomware Clop contre l’outil de transfert de fichiers MOVEit a été le plus grand vol de données de 2023, touchant 83 millions de personnes et près de 3 000 entreprises. Ce piratage nous a brutalement rappelé que la chaîne d’approvisionnement demeure une vulnérabilité critique pour la sécurité des entreprises.

Ingénierie sociale plus sophistiquée

Les attaques d’ingénierie sociale étaient auparavant capables d’exploiter la vulnérabilité humaine ; maintenant que l’IA fait partie de l’équation, ces attaques sont plus menaçantes que jamais. Alors que l’IA a amélioré la sophistication et l’efficacité des tactiques d’ingénierie sociale courantes telles que le phishing et le smishing, nous avons observé une évolution notable vers les attaques de vishing (hameçonnage vocal) en 2023. L’utilisation de communications vocales pour tromper les victimes s’est avérée particulièrement efficace pour Scattered Spider, affilié à BlackCat, et dommageable pour le secteur des jeux vidéo. L’année dernière, nous avons été témoins de l’évolution rapide des attaques d’ingénierie sociale, et cette évolution pose de plus grands défis en matière de détection et de défense.

Chute des VPN et des pare-feu

Les cybermenaces et les tendances de 2023 envoient un message clair aux entreprises : elles doivent adapter leurs stratégies de sécurité à leur époque et adopter une architecture Zero Trust. Les anciennes architectures basées sur le périmètre, telles que les réseaux privés virtuels (VPN) et les pare-feu traditionnels, élargissent non seulement la surface d’attaque, mais exacerbent également les défis auxquels sont confrontées les entreprises aux prises à des menaces de plus en plus sophistiquées et à des exigences cloud-first.

L’année 2023 a été marquée par une augmentation des vulnérabilités liées aux VPN et, en conséquence, près d’une entreprise sur deux a signalé avoir été victime d’attaques liées au VPN.

Le fait que 92 % de ces entreprises envisagent, planifient ou sont en train de mettre en œuvre une approche Zero Trust, est un signe encourageant que le Zero Trust est devenu une priorité en 2023.

Attaques des outils d’entreprise

En 2023, les acteurs, groupes et familles de menaces se sont tournés vers les fournisseurs d’outils d’entreprise de base. Ces incidents mettent en évidence la vulnérabilité croissante de la chaîne d’approvisionnement numérique au sens large et la nature interconnectée des outils d’entreprise qui sont essentiels aux opérations commerciales quotidiennes. Qu’elles soient motivées par des raisons financières, par le vol d’informations d’identification précieuses ou même par des intérêts géopolitiques dans le cas d’attaques contre des États-nations, l’accent mis sur ces outils signifie que les entreprises doivent étendre leur protocole de cybersécurité au-delà de leurs murs organisationnels. La solution ? Un programme de gestion des risques liés aux tiers plus mature.

Prévisions pour 2024 : IA, RaaS, MiTM (et plus)

Bon nombre des tendances et menaces les plus marquantes de l’année dernière persisteront, évolueront et façonneront le paysage de la sécurité des entreprises au cours de l’année à venir. Explorons cinq prévisions qui devraient figurer en tête des préoccupations des responsables de la sécurité et les entreprises.

Prévision 1 : attaques optimisées par l’IA générative

Le volume des attaques de reconnaissance, d’exploitation et de phishing optimisées par l’IA générative va croître. Il y a de bonnes raisons pour que l’IA figure encore cette année en tête de la liste des prévisions des experts en sécurité. Les outils GenAI et Large Language Mode (LLM) seront les grands catalyseurs de 2024 et continueront à faciliter l’infiltration des hackers. L’IA permet aux acteurs malveillants d’automatiser diverses tâches à grande échelle, depuis l’identification des ressources exposées tels que les pare-feu, les VPN et les VDI jusqu’à la compilation sans effort de listes de vulnérabilités connues ou la création d’e-mails de phishing sophistiqués.

Ce niveau d’évolutivité conféré par l’automatisation de l’IA continuera sans aucun doute à améliorer l’efficacité et la portée des activités malveillantes cette année. Les rapports faisant état de versions malveillantes de ChatGPT, telles que WormGPT, circulant sur le Dark Web en 2023 indiquent deux tendances préoccupantes : le potentiel de développement de nouveaux LLM malveillants sans aucune restriction éthique intégrée et l’émergence de leur utilisation dans des campagnes de menaces. De la suggestion d’idées d’attaque à l’automatisation des processus de développement et d’exécution, ces outils d’IA ont le potentiel de catapulter l’évolution des cybermenaces des années dans le futur en quelques mois seulement.

Qui plus est, 2024 est une année électorale aux États-Unis, et à ce titre, il est stratégiquement impératif d’assurer la résilience des infrastructures critiques contre la désinformation alimentée par l’IA et d’autres attaques furtives.

Les entreprises de tout type devront se montrer plus vigilantes et prendre des mesures de sécurité proactives, allant d’une formation actualisée à la sécurité des employés adaptée à l’ingénierie sociale et aux menaces spécifiques à l’IA, jusqu’à la responsabilisation des fournisseurs dans le cadre de la fourniture d’une cybersécurité alimentée par l’IA. Nous devons combattre le feu par le feu et utiliser des techniques d’IA générative, d’apprentissage automatique et d’apprentissage profond pour protéger les données, les appareils et les réseaux contre les menaces alimentées par l’IA.

Prévision 2 : innovation en matière de ransomware en tant que service

Le modèle Ransomware-as-a-Service innovera et contribuera au nombre d’attaques réussies. Le modèle RaaS est sur le point d’accroître davantage la cybercriminalité et de donner plus de moyens aux groupes criminels moins qualifiés en 2024. En outre, nous devrions nous attendre à une nouvelle vague et à une prévalence croissante de courtiers d’accès initial, semblables à Scattered Spider, spécialisés dans la facilitation d’accès non autorisés à des réseaux cibles. Les attaques sans chiffrement resteront une tactique stratégique populaire pour permettre aux opérateurs de ransomwares d’échapper à la détection, obligeant les entreprises à se concentrer sur la détection des activités anormales au-delà des modèles typiques associés aux ransomwares basés sur le chiffrement.

Face à l’évolution des menaces et des tendances liées aux ransomwares, les entreprises doivent privilégier des stratégies complètes de protection Zero Trust pour chaque étape de la chaîne d’attaque, de la compromission initiale à l’exécution.

Prévision 3 : augmentation des attaques MiTM (Man-in-the-Middle)

L’incapacité à mettre en œuvre une architecture Zero Trust entraînera une augmentation des attaques de type MiTM (Man-in-the-Middle). Les menaces MiTM resteront une préoccupation majeure pour les entreprises en 2024, exacerbées par les boîtes à outils de Phishing-as-a-Service qui démocratisent les attaques MiTM sophistiquées, les rendant accessibles à un plus large éventail d’acteurs malveillants. Cette tactique cible les utilisateurs d’un serveur ou d’un système spécifique et capture les données en transit, telles que les informations d’authentification des utilisateurs ou les cookies, en imitant les services en ligne via des serveurs proxy.

Les risques associés aux attaques de phishing MiTM (accès non autorisé, vol de données et compromission d’informations critiques) appellent au Zero Trust et à des mesures de sécurité avancées. Faute d’une architecture Zero Trust basée sur un proxy, une inspection TLS complète et une authentification multifacteur (MFA) FIDO2, les entreprises demeurent exposées à des vulnérabilités dans les canaux de communication et l’authentification des utilisateurs. Il est donc impératif de privilégier ces mesures de sécurité en 2024.

Prévision 4 : attaques de la chaîne d’approvisionnement des écosystèmes d’IA générative et des environnements de développement

Les attaques contre la chaîne d’approvisionnement cibleront les écosystèmes vulnérables de l’IA générative. Alors que les chaînes d’approvisionnement seront de plus en plus interconnectées et les attaques de plus en plus sophistiquées en 2024, les composants en amont et en aval des chaînes d’approvisionnement seront de plus en plus menacés.

En effet, les hackers exploiteront de nouvelles façons d’exploiter stratégiquement les faiblesses de divers composants au-delà des vecteurs d’attaque traditionnels. À mesure que les entreprises intègrent davantage de composants d’IA à leurs chaînes d’approvisionnement, les LLM et l’IA occuperont une place de plus en plus importante dans les conversations sur la sécurité de la chaîne d’approvisionnement. Si elle n’est pas correctement sécurisée, une chaîne d’approvisionnement optimisée par l’IA peut devenir une cible pour les hackers qui cherchent à corrompre les données d’entraînement de l’IA, à manipuler les mises à jour, à injecter des algorithmes malveillants, à s’engager dans une ingénierie rapide ou à exploiter les vulnérabilités comme point d’entrée afin de compromettre les données ou les systèmes des entreprises.

Les entreprises doivent reconnaître le rôle essentiel d’une chaîne d’approvisionnement résiliente pour assurer la continuité des activités et la résilience globale tout en priorisant les investissements pour se prémunir contre les conséquences dévastatrices d’une compromission de la chaîne d’approvisionnement. L’élimination de la surface d’attaque sur Internet sera essentielle, et la mise en œuvre de contrôles de sécurité Zero Trust pour arrêter les déplacements latéraux et bloquer les activités de commande et de contrôle sera déterminante à cette fin. En bref, les entreprises doivent adopter une approche globale pour protéger non seulement leurs applications d’IA internes, mais également celles de leurs fournisseurs.

Prévision 5 : les attaquants répondent aux réglementations de la SEC

Les attaques évolueront en réponse aux cyber-réglementations imposées par la Securities and Exchange Commission (SEC) des États-Unis. Anticipant l’impact des nouvelles réglementations de la SEC qui exigent la divulgation des violations matérielles, il est probable que les attaquants perfectionneront davantage leurs méthodes furtives déjà bien rodées. Attendez-vous à ce qu’ils accordent une plus grande importance aux stratégies secrètes, exploitant des techniques d’évasion sophistiquées et le chiffrement pour prolonger les accès non détectés. De plus, les hackers peuvent cibler plus fréquemment des systèmes non matériels afin de passer inaperçus, recueillir des renseignements et élever discrètement leurs privilèges. En cherchant à contourner les obligations de divulgation immédiate, nous pourrions assister à une augmentation de l’exploitation des vulnérabilités des tiers et de la chaîne d’approvisionnement. En substance, le futur paysage des menaces pourrait dicter une évolution prédictive vers des approches encore plus stratégiques et discrètes à mesure que les attaquants s’adaptent aux cadres réglementaires émergents.

Les cyber-réglementations de la SEC entraîneront également des changements stratégiques au sein des équipes de sécurité. Les exigences de création de rapports en temps opportun des incidents importants et de création de rapports annuels sur la gestion des cyber-risques seront un catalyseur pour une collaboration plus interfonctionnelle en 2024. Comment les entreprises se prépareront-elles et se conformeront-elles au processus de création de rapports ? Disposent-elles d’une défense en profondeur et d’une gouvernance de la sécurité suffisantes ? Ces questions, et leurs implications juridiques, exerceront une fonction contraignante en faveur de l’alignement du cyberespace et des entreprises. Pour de nombreuses entreprises, cela signifie que les RSSI et les responsables de la sécurité travailleront plus étroitement que jamais avec les PDG, les équipes juridiques et les conseils d’administration pour développer des processus de divulgation et renforcer la posture de sécurité de leur organisation.

À mesure que l’année avance, les équipes de sécurité auront du pain sur la planche. En privilégiant des investissements dans une architecture Zero Trust, des contrôles de sécurité basés sur l’IA, la formation des employés et la planification stratégique, vous pouvez renforcer la résilience et mieux vous protéger contre l’évolution des menaces. Zscaler Zero Trust Exchange contrecarre les attaques avancées grâce à l’inspection du trafic TLS/SSL, l’isolation du navigateur et les contrôles d’accès basés sur des politiques, tout en arrêtant les déplacements latéraux avec des connexions directes de l’utilisateur à l’application et en empêchant la perte de données grâce à une inspection approfondie. Demandez une démo personnalisée de la manière dont Zscaler peut vous aider à répondre aux besoins de sécurité de votre entreprise.

Suivez Zscaler ThreatLabz sur X (Twitter) et notre blog de recherche sur la sécurité pour rester au fait des dernières cybermenaces et recherches en matière de sécurité. L’équipe de recherche sur les menaces Zscaler ThreatLabz surveille en permanence les renseignements sur les menaces provenant du plus grand cloud de sécurité inline au monde et partage ses conclusions avec l’ensemble de la communauté de la sécurité.