Rapport sur la réponse à incident - 2025

Rapport
mondial
sur la
réponse à incident 2025

Regarder le webinar Inscrivez-vous aux mises à jour

Synthèse

Actuellement, cinq grandes tendances transforment le champ des menaces :

Premièrement, les cybercriminels amplifient l’impact des attaques traditionnelles par ransomware ou par extorsion en perturbant intentionnellement les opérations de leurs victimes. Ainsi, 86 % des incidents sur lesquels l’équipe Unit 42 est intervenue en 2024 ont concerné des perturbations opérationnelles, qui se sont soldées par des interruptions de service, une atteinte à l’image de marque, voire les deux.
Deuxièmement, les attaques contre la supply chain logicielle ou le cloud ont gagné en fréquence et en sophistication. Dans le cloud, les attaquants exploitent les erreurs de configuration pour s’implanter dans l’environnement et sondent toute l’étendue des réseaux à l’affût de données monnayables. Lors d’une campagne, par exemple, ils ont analysé plus de 230 cibles uniques dans l’espoir de dénicher des informations sensibles.
Troisièmement, la vitesse des intrusions est décuplée par l’automatisation et les kits de hacking clé en main, laissant très peu de temps aux équipes de sécurité pour les détecter et y répondre. Dans près d’un incident sur cinq, les données ont été exfiltrées dans l’heure suivant la compromission.
Quatrième tendance, les menaces internes présentent un risque accru pour les entreprises. Leurs données sont en effet prisées des groupes étatiques, comme la Corée du Nord, qui financent des initiatives à l’échelle nationale. Pour preuve, le nombre d’incidents de sources internes fomentés par des groupes affiliés à la Corée du Nord a triplé en 2024.
Cinquièmement, les premières attaques assistées par IA montrent comment cette technologie démultiplie la puissance et la vitesse de frappe des intrusions.

Dans cette conjoncture, on voit également émerger des stratégies multidimensionnelles, qui ciblent plusieurs domaines de la surface d’attaque. Les chiffres parlent d’eux-mêmes : dans 70 % des missions, l’équipe Unit 42 a dû intervenir sur trois niveaux minimum. Preuve, s’il en est, de l’urgence de répartir les défenses sur tous les fronts, qu’ils soient technologiques (terminaux, réseaux, clouds) ou humains. D’ailleurs, le facteur humain ne doit pas être négligé. Près de la moitié des incidents de sécurité (44 %) investigués impliquaient un navigateur web, notamment pour des attaques de phishing, des redirections malveillantes ou des téléchargements de malwares.

Forts de plusieurs années d’expérience et de milliers d’incidents résolus, nous avons identifié trois principales faiblesses dont raffolent les attaquants : la complexité, les angles morts et une confiance excessive. Architectures de sécurité fragmentées, ressources non gérées, comptes trop permissifs… autant de failles laissant la voie libre aux attaquants.

Face à ces défis, les responsables sécurité doivent accélérer la transition vers le Zero Trust, afin d’éliminer toute notion de confiance implicite au sein de l’écosystème. Mesure tout aussi cruciale, la sécurisation des applications et des environnements cloud – du développement jusqu’au runtime – garantit la correction des erreurs de configuration et des vulnérabilités dans les meilleurs délais. Enfin, il est essentiel de fournir aux SecOps davantage de contexte pour une réponse accélérée. Comment ? Par une visibilité consolidée sur les environnements on-prem, le cloud et les journaux des terminaux, conjuguée à une détection et à une neutralisation des menaces automatisées.

1. Introduction

En plus de vingt ans d’expérience dans la réponse à incident, j’ai pu assister à d’innombrables transformations, tant dans les tactiques d’attaque que dans le champ des menaces en général.

Avec l’apparition des ransomwares, le cryptage de fichiers s’est imposé comme la méthode préférée des cybercriminels. Il faut dire que la recette était simple : 1) verrouiller les fichiers ; 2) demander une rançon à l’aide d’une clé de chiffrement ; 3) recevoir le paiement. À recommencer avec la prochaine victime et la suivante, ad infinitum. Plus tard, lorsque les technologies de sauvegarde se sont améliorées, les doubles extorsions ont commencé à gagner en popularité. Quand la menace technologique ne suffisait plus, les cybercriminels se sont tournés vers le harcèlement, sommant les entreprises de payer la rançon pour éviter la publication de données sensibles. Mais même ce chantage ne fait plus autant d’effet.

Tous les mois ou presque, je reçois une notification sur une compromission de données dans une organisation. Il m’arrive d’ouvrir ces messages et de les lire, mais j’avoue qu’ils finissent parfois directement à la corbeille. Comme beaucoup, j’ai investi dans des logiciels de protection contre le vol d’identité et respecte les bonnes pratiques en matière d’hygiène cyber. Mais je reconnais qu’il est difficile de ne pas être désensibilisé par l’avalanche de notifications sur les compromissions. Alors, j’imagine qu’une personne lambda peut s’en trouver si anesthésiée qu’elle ne craint plus la fuite, même répétée, de ses données. L’idée me fait froid dans le dos. Malgré l’apathie générale, une compromission des données représente un grand danger pour l’entreprise.

L’an passé, les attaquants ont opéré un revirement stratégique qui consiste à causer délibérément le plus de perturbations possible. Motivés par l’appât du gain, ils passent principalement par le sabotage : destruction intentionnelle des systèmes, coupure des accès des clients aux environnements et interruptions prolongées. L’objectif : maximiser leur impact et forcer les organisations victimes à verser la rançon demandée.

En 2024, les experts d’Unit 42 sont intervenus dans plus de 500 cas de cyberattaques majeures. Extorsions, intrusions réseau, vols de données, menaces persistantes avancées… ces incidents de nature variée ciblaient de grandes entreprises implantées dans 38 pays et opérant dans tous les secteurs d’activité.

Déployées à vitesse fulgurante, ces compromissions ont entraîné de graves perturbations opérationnelles avec des retombées en cascade : interruptions, pannes de service, pertes et coûts s’élevant à des milliards de dollars. À chaque fois, la situation s’était intensifiée au point que le centre des opérations de sécurité (SOC) avait dû appeler des renforts. Et nous avons répondu présents.

Aussitôt, notre équipe de réponse à incident intervient pour endiguer les menaces, investiguer les incidents et rétablir les opérations. Une fois le calme revenu, nous accompagnons nos clients dans le renforcement de leur posture de sécurité contre de futures attaques.

Protéger le monde numérique des cyberattaques, telle est la mission d’Unit 42. Disponible 24 h/7 j dans le monde entier, notre équipe est unie par le même but : stopper les cyberattaquants, traquer l’évolution des menaces et aider les organisations à se préparer aux attaques les plus sophistiquées pour mieux rebondir.

Ce rapport est conçu pour vous présenter nos principales conclusions, assorties de conseils concrets :

Menaces et tendances émergentes – Un aperçu de ce qui attend les entreprises, notamment la prolifération des extorsions appuyées par des perturbations opérationnelles, des tactiques assistées par IA, des attaques basées sur le cloud et la supply chain logicielle et des menaces internes fomentées par des groupes étatiques. Le tout, à une vitesse sans précédent.
Modes opératoires des attaquants – Analyse des principales tactiques, techniques et procédures (TTP), de l’accès initial à l’impact final.
Recommandations aux équipes de sécurité – Conseils pratiques à destination des dirigeants, des RSSI et des équipes de sécurité pour fortifier les défenses, renforcer la résilience et anticiper les menaces.

En lisant notre rapport, ne vous focalisez pas uniquement sur le présent. Demandez-vous comment votre entreprise peut se préparer à relever les défis d’un paysage des menaces toujours plus complexe.

Lire la suite Afficher moins

Prêt à déjouer les cyberattaques ?

Gardez un coup d’avance sur vos adversaires en suivant les actualités de notre rapport sur la réponse à incident.

Recevez en avant-première les actualités du rapport mondial d’Unit 42 sur la réponse à incident, édition 2025. Au sommaire : les nouvelles tactiques, techniques et procédures (TTP) des attaquants, les perspectives de nos experts sur le champ des menaces et bien plus encore !

Le savoir, une arme de défense essentielle.

2. Menaces émergentes et tendances

Cybercriminels appâtés par le gain, groupes étatiques richement dotés, acteurs internes, hacktivistes aux motivations politiques… les organisations ont fait face à un assortiment complexe de menaces en 2025. Si l’extorsion reste la technique prédominante, les attaques sophistiquées commanditées par des États ciblent des infrastructures critiques, des supply chains et les secteurs stratégiques. Au sein même des entreprises, les accès privilégiés accordés aux sous-traitants et aux collaborateurs intensifient les risques en permettant de contourner les défenses externes. Autre menace latente, les hacktivistes organisent des perturbations à grande échelle en passant par les réseaux sociaux.

Dans ce contexte, les recherches d’Unit 42 ont mis au jour cinq tendances phares aux répercussions majeures et immédiates sur les entreprises : attaques par extorsion doublées de perturbations intentionnelles, exploitations de la supply chain logicielle et du cloud, accélération des attaques, risques internes liés à la Corée du Nord et menaces assistées par IA.

Tendance 1 – Perturbations opérationnelles : la troisième vague des attaques par extorsion

Les entreprises renforçant leurs défenses, les sauvegardes se généralisent dans le cadre de stratégies globales d’hygiène cyber de plus en plus matures. Leur efficacité pousse les attaquants à innover s’ils souhaitent continuer à extorquer des sommes toujours plus élevées.

Au cours des dix dernières années, les attaques par extorsion ont évolué, passant du cryptage à l’exfiltration et aux techniques de multi-extorsion, avant d’accroître leur pouvoir de nuisance avec des perturbations intentionnelles. Bien que les ransomwares continuent de faire les gros titres, d’autres menaces dévastatrices pèsent sur les organisations. En effet, les cybercriminels ont délaissé le simple cryptage des données pour des méthodes encore plus perturbatrices, comme le harcèlement des parties prenantes et la paralysie d’opérations critiques.

À tel point qu’en 2024, 86 % des incidents pris en charge par Unit 42 impliquaient une forme de perte liée à leur impact. Exemples :

Perturbation totale des activités
Perte de ressources ou escroquerie
Atteinte à la réputation et perte de parts de marché causées par la médiatisation des attaques
Hausse des coûts opérationnels, juridiques, réglementaires, etc.

On distingue trois mouvements dans l’évolution des attaques par extorsion.

Mouvement 1 – Au commencement était le cryptage

L’essor des cryptomonnaies permet d’accroître la portée des attaques pour un risque minime, un atout qui n’a pas échappé aux cybercriminels. Ainsi, les ransomwares se sont rapidement imposés comme un filon fort lucratif. Verrouillage des fichiers critiques, demande de rançon et réception du paiement en cryptomonnaie – cette méthode en trois temps a de quoi séduire. Depuis, les cryptomonnaies sont devenues un rouage essentiel des attaques par ransomware :

Renforcement de l’anonymat pour l’attaquant
Démocratisation de ce mode d’attaque pour les cybercriminels
Facilité à se soustraire aux autorités judiciaires et aux sanctions internationales

Les premières attaques par ransomware suivaient un scénario simple : le cybercriminel s’infiltre dans le réseau, crypte les fichiers et repart aussitôt. À l’époque, Unit 42 observait rarement des signes d’exfiltration de données lors de ses investigations.

Plus sophistiquées, les attaques combinent aujourd’hui le cryptage au vol de données et à la double extorsion. Notons toutefois que le cryptage reste une tactique à part entière. De fait, les dernières données sur la réponse à incident d’Unit 42 révèlent que cette méthode domine les cas d’extorsion, avec une certaine constance depuis les quatre dernières années.

Au fil des ans, les entreprises ont adopté de meilleures habitudes de sauvegarde des données. Un problème pour les attaquants, puisque le cryptage seul ne suffit plus. Grâce aux sauvegardes, les organisations reviennent plus rapidement à la normale. En 2024, près de la moitié (49,5 %) des victimes ont pu restaurer leur système à partir d’une sauvegarde. Un chiffre multiplié par cinq depuis 2022, où 11 % seulement des victimes y parvenaient, comme le montre la Figure 1.

Figure 1. Le pourcentage de victimes ayant pu restaurer des fichiers cryptés à partir d’une sauvegarde a augmenté de 360 % entre 2022 et 2024

Malheureusement, ces mesures défensives ne suffisent pas à contrer le risque de publication ou de vente des données volées.

Lire la suite Afficher moins

Mouvement 2 – Surenchère par exfiltration de données

Le cryptage des fichiers n’étant plus suffisamment redouté, les cybercriminels ont adopté une nouvelle tactique d’extorsion en deux temps : exfiltration de données, d’abord, puis harcèlement des parties prenantes. Outre l’utilisation de ces données exfiltrées comme moyen de chantage, ils les transforment aussi en nouveaux flux de revenus, en les revendant par exemple aux enchères sur les marketplaces du Dark Web.

Les attaquants menacent de publier des informations sensibles, créant souvent des sites de leak pour vanter leurs exploits. Certains bombardent les salariés et les clients de messages malveillants.

Bien que le vol de données reste une tactique prisée, elle commence toutefois à perdre de son efficacité. Première raison : désensibilisées par la fréquence des compromissions, les victimes ne craignent plus autant la publication de leurs données sur le Dark Web, une technique de pression autrefois efficace.

D’après le rapport sur les compromissions de données 2023 de l’Identity Theft Resource Center, les données de 353 millions de victimes ont été compromises sur la seule année 2023. Par ailleurs, si les attaquants tiennent généralement leurs promesses, quid des fois où ils ne le font pas ? Une question qui hante de plus en plus les organisations.

De fait, les cybercriminels n’ont fourni des preuves de la suppression des données que dans moins de deux tiers (58 %) des vols de données en 2024. Parfois même, l’équipe Unit 42 a découvert que l’attaquant avait conservé une partie des données malgré l’envoi de ces prétendues preuves. Certes, les deux tiers du temps, c’est effectivement plus de la moitié. Mais on est bien loin du niveau de certitude attendu avant de verser une somme quelconque, a fortiori aussi exorbitante.

Une tendance étayée par les données sur les sites de leak : après une hausse de 50 % du nombre de victimes entre 2022 et 2023, la progression s’est resserrée à 2 % seulement en 2024. On peut y voir là le signe que la menace de publier les données sur les sites de leak ne convainc plus autant les entreprises de verser la rançon exigée.

Or, l’attaquant doit semer la peur chez la victime et conserver toute son attention s’il souhaite l’extorquer. Pour garder leur emprise et prendre les entreprises au dépourvu, les cybercriminels font sans cesse évoluer leurs méthodes.

Mais ils n’abandonnent pas les tactiques d’exfiltration pour autant. Comme le montre le Tableau 1, ils continuent de dérober des données plus de la moitié du temps et le recours au harcèlement est en constante hausse. De plus, ils enchérissent avec d’autres tactiques pour s’assurer de recevoir la rançon.

Tactique d’extorsion	2021	2022	2023	2024
Cryptage	96 %	90 %	89 %	92 %
Vol de données	53 %	59 %	53 %	60 %
Harcèlement	5 %	9 %	8 %	13 %

Tableau 1. Prévalence des tactiques d’extorsion dans les attaques en lien avec une extorsion

Pour capter l’attention des victimes et sécuriser leur butin, les acteurs malveillants n’ont plus qu’une solution : intensifier leurs assauts sous forme de perturbations intentionnelles.

Lire la suite Afficher moins

Mouvement 3 – Perturbations intentionnelles des opérations

Une troisième tactique de pression gagne en popularité : les perturbations intentionnelles. En 2024, 86 % des incidents désamorcés par l’équipe Unit 42 ont impliqué une forme de perte ayant des répercussions sur les opérations, la réputation ou autre.

D’après nos observations, les attaquants ont combiné le cryptage au vol de données, avant de pousser le curseur encore plus loin pour nuire aux entreprises. Ils ont ainsi porté un coup à la réputation des entreprises victimes ou encore harcelé leur réseau (clients et partenaires). Parfois, ils ont aussi supprimé leurs machines virtuelles et détruit leurs données. (Au chapitre 5.1, vous retrouverez le détail des techniques MITRE ATT&CK utilisées pour obtenir un tel impact.)

Nous avons vu des attaquants s’en prendre à des organisations dépendant de riches réseaux de sous-traitants dans leurs activités. En cas d’attaque, le verrouillage de certaines parties de l’infrastructure devient nécessaire pour l’endiguer et la neutraliser avant la reprise des activités. Les sous-traitants se retrouvent alors déconnectés de force. Lorsqu’ils tentent de se reconnecter une fois l’ensemble du réseau en ligne, le processus de recertification retarde le retour à la normale.

Les groupes sophistiqués ont exploité ces tactiques contre des entreprises de tous horizons (santé, hôtellerie-restauration, industrie et opérateurs d’importance vitale). L’objectif : provoquer des perturbations à grande échelle, dans la structure même, mais aussi chez ses partenaires et ses clients.

Longs temps d’arrêt, tensions avec les partenaires et les clients, répercussions financières… tandis que les difficultés s’accumulent pour les entreprises, les attaquants profitent de leur position de faiblesse pour demander une rançon supérieure. Dans une telle situation de crise, les organisations cherchent désespérément à reconnecter leurs systèmes et à minimiser l’impact financier de l’incident, qui peut se chiffrer en millions, voire milliards, de dollars. Bref, toutes les conditions sont réunies pour leur extorquer une somme maximale. Ainsi, le montant médian initialement exigé a grimpé de près de 80 % entre 2023 et 2024, passant de 695 000 $ à 1,25 million $.

Nous avons également étudié comment les attaquants calculaient leur rançon en fonction de la richesse perçue de l’organisation. (Pour cela, nous nous sommes appuyés sur les informations à disposition du public sur une entreprise donnée.) En 2024, la somme demandée s’élevait en moyenne à 2 % du chiffre d’affaires annuel supposé de la victime, avec une rançon initiale entre 0,5 % et 5 % dans la moitié des cas. Dans la tranche haute, certains attaquants tentaient parfois d’extorquer des sommes supérieures au chiffre d’affaires estimé.

La bonne nouvelle, toutefois, c’est que l’équipe Unit 42 parvient systématiquement à négocier le dernier paiement (lorsque le client a cédé au chantage). Grâce à ces efforts, le règlement de rançon médian n’a augmenté que de 30 000 $ en 2024, pour un total de 267 500 $. Et lorsque les organisations paient, le montant médian représente moins de 1 % de leur chiffre d’affaires perçu (0,6 %). En moyenne, l’équipe Unit 42 parvient donc à négocier une réduction de plus de 50 % par rapport à la demande initiale.

Lire la suite Afficher moins

Contremesures – Faites preuve de résilience face à des perturbations accrues

Contre des acteurs malveillants souhaitant déstabiliser au maximum les entreprises, la résilience opérationnelle devient une priorité absolue. Pourriez-vous poursuivre vos activités si vos systèmes critiques tombaient en panne ou si vos données sensibles devenaient inaccessibles ? Quelles opérations doivent absolument être maintenues ? Quelles stratégies de sauvegarde et de reprise après sinistre avez-vous mises en place ? Vos principaux partenaires sont-ils prêts à basculer vers de nouveaux systèmes en cas d’attaque ?

Pour le savoir, rien de tel que de mener régulièrement des tests et des simulations d’incident. Vous pouvez ainsi valider vos contrôles techniques, entraîner vos équipes IR et évaluer votre capacité à assurer les services essentiels. En misant sur la résilience, vous limitez l’impact financier immédiat d’une attaque et protégez votre réputation à long terme, garante de la confiance des parties prenantes. Deux précautions primordiales dans un cyberespace toujours plus volatile.

Les attaques par extorsion sont loin d’un simple effet de mode, de même que tout ce qui les accompagne : cryptage, vol de données, harcèlement et perturbations intentionnelles. Mais face à des acteurs malveillants redoublant d’ingéniosité pour percer chaque nouvelle défense, la cybersécurité doit perpétuellement se réinventer.

Tendance 2 – Impact croissant des attaques contre la supply chain logicielle et le cloud

Alors que les ressources cloud ont plus que jamais le vent en poupe, en particulier pour les opérations et le stockage de données à forte valeur, l’impact des incidents liés au cloud ou aux applications SaaS s’en trouve fortement décuplé.

Un peu moins d’un tiers des missions (29 %) en 2024 concernaient le cloud. Autrement dit, dans le cadre de notre investigation, nous avons dû récupérer des journaux et des images depuis un environnement cloud ou nous sommes intervenus sur des ressources hébergées en externe, comme des applications SaaS.

Mais ces prestations ne sont pas nécessairement représentatives des incidents où les assets cloud sont endommagés. En 2024, c’était le cas d’une attaque sur cinq environ (21 %), avec des environnements ou assets cloud durement touchés.

Lire la suite Afficher moins

Afficher tout +

La gestion des identités et des accès : un facteur déterminant

D’après nos observations, les problèmes liés à la gestion des identités et des accès continuent de contribuer à un nombre non négligeable d’incidents. Les cybergangs comme Bling Libra (distribution du ransomware ShinyHunters) et Muddled Libra s’engouffrent dans les brèches d’environnements cloud, notamment celles ouvertes par des erreurs de configuration et des identifiants exposés.

L’absence d’authentification multifacteur (MFA) reste majoritairement en cause, même si le problème tend à disparaître. En effet, nous ne l’avons observé que dans un quart de nos interventions en 2024, contre un tiers en 2023.

À la place, d’autres vecteurs apparaissent en lien avec la gestion des identités et des accès. Ainsi, les nouveaux coupables sont des accès aux politiques trop permissifs, des autorisations excessives et des problèmes de mot de passe (voir Figure 2).

Figure 2. Problèmes récurrents de gestion des identités et des accès entre 2023 et 2024.

Dans environ 4 % des incidents, les erreurs de configuration IAM étaient le vecteur d’accès initial – un chiffre à nuancer en tenant compte de l’ampleur et de l’impact des attaques cloud. Les incidents de ce type peuvent avoir des répercussions de grande ampleur au sein d’une même organisation, mais aussi s’étendre à d’autres si les ressources cloud tombent sous le contrôle des cybercriminels.

Lors d’une campagne d’extorsion menée sur le cloud, l’attaquant a tourné à son avantage la fuite de variables d’environnement, le non-renouvellement des identifiants et l’absence d’architecture du moindre privilège. Une fois implanté dans les clouds de plusieurs organisations, il s’est servi de ce tremplin pour étendre son emprise et s’en prendre à d’autres victimes. En préparation, il a passé au crible plus de 230 cibles uniques à la recherche d’autres terminaux d’API exposés. Résultat, l’acteur malveillant a réussi à cibler les fichiers exposés issus d’au moins 110 000 domaines. Au total, il a pu collecter plus de 90 000 variables uniques divulguées, dont 7 000 étaient associées à des services cloud et 1 500 aux réseaux sociaux, avec généralement le nom du compte correspondant et les informations nécessaires à l’authentification.

Les experts d’Unit 42 ont observé plusieurs fois l’utilisation de clés d’accès/API divulguées dans le but d’assurer l’accès initial. Or, celles-ci permettent aux attaquants de pousser encore plus loin la compromission. L’utilisation de comptes cloud légitimes (T1078.004) revient à de multiples reprises dans nos observations, en particulier quand elle est combinée à certaines tactiques :

Accès initial (environ 13 % des cas où cette tactique a été observée)
Escalade des privilèges (8 %)
Persistance (7 %)
Contournement des défenses (7 %)

Exfiltration et stockage cloud

Manque de visibilité et de contrôle sur le SaaS et le cloud

Web scraping et détournement d’API

Attaques cloud

Attaques sur la supply chain logicielle et logiciels tiers

La supply chain logicielle figurait au cœur de bon nombre des incidents sur lesquels nous sommes intervenus en 2024.

À titre d’exemple, nous avons réussi à identifier une vulnérabilité critique dans l’utilitaire de compression XZ Utils avant qu’elle ne puisse causer d’importants dégâts. Même si la crise a été évitée, l’incident nous éclaire sur l’impact potentiel des compromissions sur la supply chain. Selon Red Hat au moment de la divulgation, les outils et les bibliothèques XZ contenaient « du code malveillant visiblement conçu pour permettre des accès non autorisés ». Or, diverses distributions Linux intègrent l’utilitaire XZ Utils et sont elles-mêmes adoptées par de nombreuses entreprises à travers le monde. Il n’est pas difficile d’imaginer l’impact terrible qu’aurait eu ce code malveillant s’il avait pu être déployé comme prévu, exposant des milliers de victimes. Fruit de « plusieurs années d’effort », le problème identifié dans XZ Utils souligne l’urgence d’adopter de bonnes pratiques afin de sécuriser les logiciels open-source intégrés aux systèmes d’entreprise.

Plusieurs vulnérabilités décelées dans les appliances VPN suscitent des inquiétudes quant à l’intégrité des logiciels tiers. Et pour cause : elles sont exploitées comme vecteurs d’accès initial tant par les cybercriminels que les groupes étatiques.

La mauvaise nouvelle, c’est que les acteurs malveillants disposent d’autres points d’entrée que ces vulnérabilités. En juin 2024, la plateforme cloud de données Snowflake a signalé que les comptes de certains clients étaient la cible d’attaques. Au fil de ses recherches, l’entreprise a découvert que les cybercriminels passaient par des identifiants déjà compromis (T1078 – Comptes valides), dans le cadre « d’attaques basées sur les identités dans l’ensemble du secteur, dans le but d’obtenir les données des clients ».

Lors d’une autre intervention de l’équipe Unit 42, les acteurs malveillants ont tenté pendant des mois d’accéder par force brute à un VPN d’entreprise (T1110 – Force brute). Une fois leur mission accomplie, ils ont pu infiltrer l’environnement de l’organisation et y asseoir leur présence.

Malheureusement, la complexité de l’infrastructure entraîne un manque de visibilité qui empêche l’éradication totale des attaques, en particulier lorsqu’elle intègre des logiciels tiers.

Contremesures – Prémunissez-vous contre les attaques sur la supply chain logicielle et le cloud

Pour réduire le risque lié aux attaques sur la supply chain et le cloud, plusieurs tactiques s’offrent à vous :

Réduction du détournement d’identifiants – Implémentez des contrôles IAM rigoureux, qui n’accordent à chaque rôle que les privilèges strictement nécessaires. Utilisez autant que possible des identifiants éphémères et l’authentification multifacteur.
Centralisation de la journalisation et de l’audit des ressources cloud de production – Transférez les journaux hors de l’hôte d’origine pour empêcher toute altération et corrélez l’ensemble de vos services par agrégation. Traquez les anomalies comme les appels d’API inhabituels ou les transferts de grands volumes de données.
Suivi des schémas d’utilisation – Définissez les niveaux de référence pour une consommation normale des ressources et déclenchez des alertes au moindre écart détecté par analyse des journaux. En effet, lorsqu’ils exfiltrent des données ou minent des cryptomonnaies, les attaquants font monter en flèche l’utilisation des processeurs ou de la bande passante.
Application rapide des correctifs – Traitez les bibliothèques tierces, les images de containers et les composants open-source comme s’ils faisaient partie intégrante de votre infrastructure opérationnelle. Instaurez un processus d’examen régulier de ces ressources et de déploiement rapide des mises à jour de sécurité.
Sécurisation des API et des intégrations sur la supply chain – Appliquez un plafond de connexions successives pour entraver les tentatives de data scraping ou d’attaque par force brute. Évaluez également les nouvelles dépendances avant de les intégrer aux environnements de production grâce à des outils d’analyse robustes.

En appliquant systématiquement ces mesures, les équipes de sécurité s’assurent d’identifier les attaques en amont et de restreindre leur impact. En outre, elles conservent la mainmise sur les ressources cloud et les pipelines logiciels.

Tendance 3 – Vitesse : des attaques toujours plus rapides, qui prennent le SOC de court

Automatisation, modèles de Ransomware-as-a-Service (RaaS), IA générative (GenAI)… la popularité croissante de ces nouveaux outils d’optimisation des campagnes entraîne une accélération notable des cyberattaques, comme a pu l’observer l’équipe Unit 42. Il faut dire que ces outils ont tout pour plaire : identification rapide des vulnérabilités, création de leurres convaincants pour l’ingénierie sociale et déploiement rapide d’attaques à grande échelle.

Dans un tel contexte, les entreprises du monde entier n’ont d’autre choix que de réévaluer leurs capacités de réponse et de prioriser la détection précoce. Bien souvent, quelques heures suffisent à déterminer la réussite d’une attaque, qu’elle réside dans le vol de données, le cryptage de fichiers ou des perturbations opérationnelles. Face à des méthodes d’attaques en amélioration et en accélération constantes, les structures doivent absolument se protéger par des mesures de sécurité proactives et des capacités de réponse à incident rapides.

Pour évaluer la vitesse d’une attaque, l’équipe Unit 42 mesure notamment le temps d’exfiltration – autrement dit, la rapidité à laquelle un attaquant exfiltre les données volées après la compromission initiale.

En 2024, le temps moyen d’exfiltration observé par nos experts s’élevait à environ deux jours. Problème : les organisations prennent généralement plusieurs jours à détecter et à neutraliser une compromission.

Si l’on se penche sur les cas les plus expéditifs, la rapidité vertigineuse des exfiltrations est encore plus préoccupante.

Dans un quart des cas, moins de cinq heures se sont écoulées entre la compromission et l’exfiltration de données.
Par comparaison, en 2021, l’exfiltration était réalisée en moins de 15 heures pour les entreprises du premier quartile, soit une durée multipliée par trois en trois ans.

Mais pour une grande partie des incidents, l’attaque a été encore plus rapide.

Dans un cas sur cinq (19 %), il a fallu moins d’une heure aux attaquants pour exfiltrer les données après la compromission.

Notre équipe Unit 42 s’est récemment retrouvée aux premières loges lors de trois missions différentes :

RansomHub (suivi par Unit 42 sous le nom de Spoiled Scorpius) a infiltré le réseau d’une municipalité en passant par un VPN pour lequel l’authentification multifacteur n’avait pas été activée. En moins de sept heures, le cybergang a exfiltré 500 Go de données du réseau.

Un acteur malveillant a craqué un compte VPN dans le but d’accéder à l’infrastructure d’une université. Après avoir repéré un système dépourvu de protection XDR, il a pu déployer son ransomware et exfiltrer des données en 18 heures.

Le groupe Muddled Libra (ou Scattered Spider) a manipulé par ingénierie sociale le helpdesk d’un fournisseur de services afin d’accéder à un compte de gestionnaire des accès privilégiés (PAM). Ensuite, il est allé récupérer les identifiants stockés et s’est approprié un compte doté de privilèges pour un domaine. Le tout, en seulement 40 minutes. Une fois l’accès au domaine obtenu, le gang a pillé un coffre-fort de gestion des mots de passe et ajouté à l’environnement cloud du client un compte compromis, qui lui a permis d’escalader les privilèges en vue d’exfiltrer les données.

Plus que jamais, chaque seconde compte pour les équipes de sécurité qui doivent identifier, neutraliser et endiguer les attaques avec une rapidité inédite. Parfois, elles ont moins d’une heure pour passer à l’action.

Lueur d’espoir à l’horizon, nous parvenons de mieux en mieux à réduire la durée de présence, qui correspond au nombre de jours entre l’intrusion dans l’environnement de la victime et la détection de l’attaquant par celle-ci. Entre 2023 et 2024, elle est en effet passée de 13 à 7 jours, soit une réduction de 46 %. Cette évolution s’inscrit dans une baisse générale de la durée de présence observée depuis 2021, où elle s’élevait alors à 26,5 jours.

Lire la suite Afficher moins

Contremesures – Faites barrage à des attaques en constante accélération

Les cyberattaques se déploient plus rapidement que jamais. Heureusement, les entreprises ont tout un arsenal de défense à disposition :

Métriques des temps de détection et de réponse – Le suivi et l’amélioration continue du temps moyen de détection (MTTD) et du temps moyen de réponse (MTTR) renforcent l’efficacité du SOC.
Analyses pilotées par IA – Centralisez les sources de données et identifiez les anomalies en temps réel. L’IA met en exergue les alertes critiques plus rapidement que les processus manuels.
Playbooks automatisés – Endiguez les attaques en définissant les mesures d’isolation des terminaux compromis ou en verrouillant les comptes utilisateurs en quelques minutes seulement.
Tests en continu – Organisez régulièrement des exercices de simulation, notamment avec les outils Red Team, afin de préparer votre équipe SecOps à passer de la détection à la neutralisation en toute fluidité .
Priorisation des assets à haut risque – Recentrez vos capacités de réponse rapide sur vos systèmes les plus critiques, pour lesquels les interruptions ou les pertes de données présentent le plus grand danger.

En combinant une visibilité en temps réel, des insights générés par IA et des workflows automatisés, vous avez toutes les cartes en main pour prendre de vitesse vos adversaires, aussi rapides soient-ils.

Tendance 4 – L’irrésistible ascension des menaces internes :
la frénésie des groupes nord-coréens

Les menaces internes échappent plus que tout autre risque à la vigilance des entreprises, car elles exploitent les accès privilégiés et les relations de confiance à la base même des opérations. C’est précisément parce qu’elles parviennent à contourner les nombreuses défenses externes qu’elles sont extrêmement difficiles à détecter.

Ainsi, les groupes cybercriminels affiliés à la Corée du Nord ont placé des agents à des postes techniques au sein d’organisations internationales. Des positions privilégiées qui ont permis de décupler le pouvoir de nuisance de leurs attaques. Par exemple, la campagne que nous avons intitulée Wagemole (aussi connue sous le nom de « IT Workers ») a transformé les postes d’ingénieurs en une surface d’attaque supplémentaire. À la clé pour le régime nord-coréen : des centaines de millions de dollars et d’autres devises fortes.

Ces cybergangs se présentent aux processus d’embauche traditionnels sous des identités volées ou synthétiques, étayées par une prétendue expérience technique détaillée. Leurs candidatures incluent ainsi de véritables références, obtenues par usurpation d’identité, ou des CV décrivant une expérience professionnelle dont la légitimité semble confirmée après de simples vérifications.

Sur toutes nos missions de réponse à incident en 2024, environ 5 % ont impliqué des menaces internes. Plus inquiétant encore, le nombre de cas attribués à la Corée du Nord a triplé depuis l’année précédente. Même si une meilleure connaissance de ces menaces a rendu les entreprises plus vigilantes, les acteurs malveillants continuent de sévir à travers le monde.

Aucun secteur n’est à l’abri. En 2024, ils ont même ajouté à leur tableau de chasse les services financiers, les médias, le retail, la logistique, le divertissement, les télécommunications, les services IT et la défense. Toutefois, les grands acteurs de la tech restent leurs proies privilégiées.

Lire la suite Afficher moins

Afficher tout + Tout masquer -

Prestataires externes

Ces campagnes visent généralement des organisations qui font appel à des collaborateurs externes pour les fonctions techniques. Sans le savoir, les entreprises deviennent les passe-plats des cybergangs nord-coréens par leurs lacunes :

Processus de vérification abrégés pour combler le manque d’effectifs
Mécanismes limités de vérification des identités
Manque de visibilité sur les agences de prestation
Pression pour recruter rapidement dans un marché compétitif

Si les hackers nord-coréens ont réussi à décrocher des postes à temps complet, les collaborateurs externes restent le vecteur d’infiltration de prédilection.

Évolution des tactiques

Ces agents ont perfectionné leurs techniques au fil des ans. Exit les outils commerciaux de gestion à distance d’une autre époque. Désormais, leurs approches sont nettement plus fourbes.

On assiste ainsi à la prolifération des solutions matérielles KVM-over-IP, de petits périphériques qui se branchent directement sur les ports vidéo ou USB du système ciblé pour le contrôler à distance. Problème : ils passent entre les mailles de nombreux outils de surveillance des terminaux, alors qu’ils se connectent à des fins malveillantes aux ordinateurs fournis par l’entreprise elle-même.

Conçues à l’origine pour le développement à distance dans un cadre légitime, les fonctions de tunneling de Visual Studio Code se retrouvent détournées en canaux cachés pour maintenir l’accès à l’infrastructure.

Ces opérations sont d’autant plus difficiles à détecter qu’un grand nombre de ces agents nord-coréens possèdent de réelles compétences techniques. Si leur accès paraît légitime, c’est parce qu’il l’est. Ils font le travail demandé par leur poste, tout en remplissant leur véritable mission.

Experts IT espions : un large éventail de menaces

Une fois infiltrés dans une entreprise, ces faux ingénieurs empochent non seulement un salaire au bénéfice du régime nord-coréen, mais ils s’adonnent aussi à une multitude d’activités malveillantes :

Exfiltration de données – Transfert systématique de données métiers sensibles et de documents internes (données clients, code source, propriété intellectuelle, etc.), en exploitant les politiques de sécurité, les rapports sur les vulnérabilités et les guides de recrutement pour passer sous les radars.
Déploiement d’outils non autorisés – Introduction dans l’environnement d’outils de gestion à distance ou d’autres logiciels non autorisés dans le but de maintenir l’accès ou de pousser l’exploitation encore plus loin.
Modification du code source – Lorsqu’il a accès à un référentiel de code, l’acteur malveillant peut ouvrir une backdoor, qui lui permet d’infiltrer des entreprises plus larges ou de trafiquer les transactions financières
Extorsion – Dans certains cas, les agents nord-coréens somment les entreprises de payer une rançon, sans quoi ils publieront les informations confidentielles qu’ils ont dérobées. Parfois, même, ils mettent leurs menaces à exécution
Fausses références – Les hackers peuvent recommander à l’entreprise d’embaucher leurs complices, renforçant ainsi la présence du cybergang. Il arrive que les experts IT espions ainsi recrutés ne soient en réalité que des clones du premier agent, qui déploie une panoplie de fausses identités.

Contremesures – Prévenez les menaces internes

Non contents de collecter de l’argent, les hackers nord-coréens ont fait évoluer leur stratagème. Désormais plus difficiles à détecter, ils parviennent à cibler une grande diversité d’organisations à travers le monde. Le régime voit dans cette méthode un investissement stratégique, qui portera ses fruits à long terme.

Pour s’en prémunir, les entreprises doivent repenser leur approche de la gestion des collaborateurs et de la sécurité.

Contre les menaces internes, les contrôles techniques ne suffisent pas. Il faut une culture de sensibilisation à la sécurité, conjuguée à une surveillance active des activités utilisateurs, en particulier des comptes privilégiés.

À compléter par des mesures pour minimiser le risque d’intrusion malveillante, comme l’application de politiques du moindre privilège et la vérification approfondie des références fournies par les candidats. En outre, les organisations doivent prêter une attention toute particulière aux indicateurs comportementaux, notamment les transferts de données inhabituels ou les accès au système de dernière minute par un collaborateur à l’approche de son départ. Pour ce faire, il est important de pouvoir corréler les indicateurs de plusieurs sources de données. En effet, un comportement peut sembler inoffensif hors de tout contexte. Mais une fois relié à d’autres signaux, une investigation devient manifestement nécessaire.

En somme, la confiance doit reposer sur une vérification. Car les enjeux sont élevés pour l’organisation. Un incident de ce type peut réduire à néant des années de progrès, menacer sa propriété intellectuelle et entacher sa réputation. La solution ? Renforcement des processus internes, surveillance des accès privilégiés et sensibilisation à la sécurité à tous les niveaux de l’entreprise – ces trois précautions réduisent considérablement le risque de menace interne aux répercussions désastreuses.

Tendance 5 – L’émergence des attaques pilotées par IA

Bien que cette tactique en soit encore à ses balbutiements, le détournement de la GenAI à des fins malveillantes transforme le champ des cybermenaces. Les attaquants utilisent de nouvelles méthodes pilotées par IA pour élaborer des campagnes de phishing plus persuasives, automatiser le développement de malwares et progresser plus rapidement sur la chaîne d’attaque. Résultat, ils frappent à une vitesse sans précédent et sont aussi plus difficiles à détecter. Un cocktail explosif. À ce jour, l’utilisation de la GenAI à des fins offensives relève de l’évolution, plutôt que de la révolution. Ne vous y trompez pas pour autant : cette technologie est déjà à l’œuvre pour réinventer les méthodes d’attaque.

Afficher tout + Tout masquer -

Intensification des attaques grâce à la GenAI

Les outils GenAI, et en particulier les LLM, ont intégré l’arsenal offensif des groupes APT affiliés à des États et des cybercriminels aux motivations financières, qui les détournent pour optimiser et amplifier leurs attaques. En effet, ces technologies automatisent des tâches complexes qui prenaient un temps considérable lorsqu’elles étaient réalisées manuellement. Résultat, le cycle d’attaque entier s’en trouve accéléré.

À titre d’exemple, les LLM sont désormais capables de créer des e-mails de phishing imitant à s’y méprendre des communications d’entreprise légitimes. L’objectif : accroître les chances de succès de leur campagne en passant sous les radars des défenses traditionnelles basées sur les signatures. En outre, les groupes malveillants commercialisent d’ores et déjà des outils pour créer des deepfakes crédibles, sous forme d’offres gratuites ou de packs « professionnels » à partir de seulement 249 $/mois.

Côté malwares, les LLM aident à générer et à dissimuler du code malveillant. Les attaquants parviennent ainsi à créer des malwares polymorphes, capables de se soustraire aux mécanismes de détection classiques. L’IA a l’avantage d’automatiser la création de scripts d’exploitation et d’affiner les payloads des malwares. Ce faisant, elle réduit les obstacles techniques pour les hackers peu qualifiés, ce qui élargit le vivier d’attaquants potentiels. Par ailleurs, les outils pilotés par IA décuplent leurs capacités à identifier et à exploiter les vulnérabilités.

Vitesse et IA

L’un des bouleversements majeurs engendrés par l’IA est un gain considérable en rapidité et en efficacité des cyberattaques. Des tâches qui nécessitaient des jours, voire des semaines, à une époque s’effectuent maintenant en quelques minutes.

Pour mesurer ce phénomène, les chercheurs de l’équipe Unit 42 ont simulé une attaque par ransomware en intégrant la GenAI à chaque étape du scénario. La Figure 3 ci-dessous compare la vitesse d’une attaque avant la démocratisation de l’IA générative à la durée nécessaire avec la GenAI, en se basant sur le temps moyen observé lors de nos missions de réponse à incident.

Avec IA

Sans IA

Figure 3. Différences de rapidité lors d’une simulation d’attaque, avant et après l’utilisation de techniques pilotées par IA.

Durant nos tests, nous avons réussi à réduire la durée moyenne de 2 jours à seulement 25 minutes, multipliant ainsi la vitesse de l’attaque par 100. Certes, il ne s’agit que de résultats obtenus en laboratoire. Toutefois, on imagine facilement comment une quelconque accélération du cycle d’attaque, de la reconnaissance à l’exploitation, réduit de façon importante le délai d’impact. Prises de court, les organisations peinent à intervenir rapidement pour limiter les dégâts.

Contremesures – Parez aux attaques pilotées par IA

Protégez-vous des attaques IA grâce à ces techniques :

Déploiement de capacités de détection pilotées par IA pour repérer les schémas d’activités malveillantes à vitesse machine, grâce à la corrélation de plusieurs sources de données
Formation des collaborateurs sur les campagnes de phishing générées par IA, les deepfakes et les tentatives d’ingénierie sociale
Réalisation de simulations selon des techniques pilotées par IA pour se préparer à des attaques rapides et à grande échelle
Développement de workflows automatisés afin que le SOC endigue les menaces avant la moindre propagation ou exfiltration de données

3. Modes opératoires des attaquants : tactiques, techniques et procédures courantes

Les cyberattaques ne cessent de gagner en rapidité, en ampleur et en sophistication. Les attaquants peuvent désormais causer des dégâts considérables en un rien de temps, contre des entreprises qui peinent à les détecter et à les bloquer efficacement.

Deux tendances principales ont émergé de nos observations :

Les acteurs malveillants n’hésitent pas à multiplier les fronts d’attaque

Pour atteindre leurs objectifs, ils passent de l’ingénierie sociale à la compromission des terminaux ou des ressources cloud, entre autres (cf. Tableau 2).

Front d’attaque	Pourcentage des cas
Terminaux	72 %
Collaborateur	65 %
Identités	63 %
Réseau	58 %
E-mail	28 %
Cloud	27 %
Application	21 %
SecOps	14 %
Base de données	1 %

Tableau 2. Fronts d’attaque exploités par les cybercriminels

Dans 84 % des incidents, la victime était assaillie sur plusieurs fronts (plus de trois dans 70 % des cas). Nous sommes même intervenus sur des attaques réparties sur non moins de huit fronts.

Face à cette complexité croissante, une visibilité unifiée sur l’ensemble des sources de données s’impose. Dans 85 % de nos missions, les spécialistes IR d’Unit 42 ont eu besoin de consulter plusieurs types de sources pour mener à bien leur investigation. D’où l’importance pour les équipes de sécurité de se préparer à accéder à diverses sources d’informations dans l’entreprise et à en traiter efficacement les données.

Le navigateur représente un vecteur de menaces clé

Dans près de la moitié des incidents de sécurité investigués (44 %), nous avons dépisté des activités malveillantes lancées ou favorisées par le navigateur des collaborateurs. Phishing, redirection URL trompeuse, téléchargement de malwares… ces exploitations de la session navigateur ont échappé aux outils de détection et de neutralisation.

Sans les contrôles de sécurité adéquats, les interactions des utilisateurs avec les liens, domaines ou fichiers malveillants ont inexorablement facilité les compromissions. De ce fait, les entreprises ont besoin d’améliorer leur visibilité et d’adopter des contrôles rigoureux au niveau du navigateur même, afin de détecter, bloquer et neutraliser ces menaces avant leur propagation.

Dans les chapitres suivants, nous ferons le point sur les intrusions et révèlerons les techniques d’attaque les plus courantes à partir de nos observations sur le terrain.

Lire la suite Lire la suite

3.1. Intrusion : l’essor de l’ingénierie sociale, à toutes les échelles

Selon les données de l’équipe Unit 42, le phishing s’est de nouveau hissé en tête des vecteurs d’accès initial les plus fréquents en 2024, représentant à lui seul près d’un quart des incidents (23 %), comme l’illustre la Figure 4.

Afficher tout

Figure 4. Vecteurs d’accès initial observés dans les missions d’Unit 42 au fil des ans L’ingénierie sociale peut également prendre d’autres formes : empoisonnement SEO, publicité malveillante, smishing, bombardement MFA et compromission du helpdesk. Dans le reste du classement des vecteurs d’accès initial, on retrouve le détournement de relations ou d’outils de confiance, ainsi que les menaces internes.

Mais les vecteurs d’accès initial ne représentent qu’une partie du problème. Chacun d’entre eux correspond en effet à un profil d’attaquant différent avec ses propres objectifs. Prenons l’exemple du phishing. Le type d’incident le plus souvent associé à cette méthode était la compromission de la messagerie professionnelle (76 % des cas), suivie de loin par l’extorsion, en particulier par ransomware (près de 9 %).

Quant aux groupes étatiques, qui représentent un faible pourcentage mais ont un impact redoutable, les vulnérabilités des logiciels/API sont leur axe d’attaque de prédilection.

Autre vecteur, les identifiants déjà compromis présentent un risque que les équipes de sécurité ne sauraient négliger. Une simple recherche sur le Dark Web permet généralement de trouver un intermédiaire prêt à en vendre.

D’autres vecteurs d’accès initial, plus rares, peuvent se traduire par des compromissions de grande ampleur. À titre d’exemple, l’équipe Unit 42 conserve dans son viseur le cybergang Muddled Libra, qui continue d’accéder aux entreprises en manipulant le helpdesk par ingénierie sociale. Ils sont toutefois loin d’être les seuls : au Nigeria, des attaquants alléchés par le gain procèdent de la même manière.

Cette technique permet d’usurper les organisations sans déployer de malware, avec pour seules armes de faux papiers d’identité ou des numéros de téléphone VoIP géolocalisés dans la ville de leurs victimes. Selon nos données, le pourcentage d’attaques ciblées a doublé entre 2022 et 2024, passant de 6 % à 13 %.

Lire la suite Lire la suite

Contremesures – Prémunissez-vous contre l’ingénierie sociale

En continuant de capitaliser sur des stratégies de défense en profondeur (DiD), les équipes de sécurité pourront anticiper les attaques par les principaux vecteurs et minimiser l’impact des intrusions dans les systèmes.

Pour aider les collaborateurs à résister aux tentatives d’ingénierie sociale, il est absolument vital de leur apporter la formation de sécurité adéquate. Mais cette sensibilisation ne doit pas se limiter au phishing et au spear-phishing, les salariés ont également besoin de conseils concrets :

Stratégies d’amélioration de la sécurité physique (par exemple, éviter de badger pour quelqu’un d’autre au portique d’entrée)
Bonnes pratiques liées à la perte d’un équipement
Consignes en cas d’appareil volé ou laissé sans surveillance
Indicateurs de menaces internes
Signaux d’alarme à surveiller dans les appels du helpdesk
Indices pour reconnaître un deepfake

3.2. Éclairages sur les techniques d’attaque observées par Unit 42

Nos analystes CTI ont tiré trois enseignements clés de nos observations des tactiques et techniques utilisées dans les cyberattaques les plus sophistiquées en 2024 :

Les attaquants s’aident de tous les accès, quels qu’ils soient. La vigilance reste donc de mise, même si un groupe semble concentré sur d’autres victimes : préparez-vous à défendre votre entreprise.
Les attaquants les plus aguerris n’utilisent pas toujours des techniques complexes. Pourquoi faire compliqué, alors qu’une approche simple fonctionnerait aussi bien ?
Même si l’extorsion reste l’une des méthodes favorites, tous les acteurs malveillants ne s’annoncent pas au grand jour. Les groupes étatiques, par exemple, se caractérisent souvent par une présence discrète mais durable dans les environnements compromis, notamment marquée par le détournement d’outils légitimes.

Les chapitres qui suivent détaillent les techniques d’attaques employées par les groupes étatiques et autres attaquants.

Afficher tout + Tout masquer -

Tous les accès sont décisifs

Trop souvent, les entreprises minimisent la menace que représentent certains types de cybercriminels, au prétexte qu’ils semblent concentrés sur d’autres cibles. Grave erreur. L’expérience nous a prouvé à maintes reprises que les groupes les plus persévérants n’hésitent pas à rebondir d’organisation en organisation pour parvenir à leurs fins, faisant de nombreuses victimes sur leur passage.

Au cours de l’année 2024, les experts d’Unit 42 ont suivi un grand nombre d’entreprises compromises par des groupes étatiques. Ces attaquants ne s’infiltrent pas toujours pour mener directement des activités d’espionnage. Parfois, ils réquisitionnent des appareils en anticipation de leurs futurs méfaits (T1584 - Compromission de l’infrastructure).

Par exemple, le cybergang Insidious Taurus, alias Volt Typhoon, exploite couramment ces appareils compromis au préalable (des routeurs réseau connectés à Internet et des appareils IoT, en général). L’objectif : créer des botnets qui prennent indirectement le contrôle du trafic réseau entrant ou sortant de victimes supplémentaires.

Parmi les victimes favorites des attaquants figurent aussi les fournisseurs de technologies, car leur compromission permet de récupérer des informations clients sensibles spécifiques, voire d’exploiter les interconnexions menant à d’autres victimes en aval (T1199 - Relation de confiance).

Même si vous n’êtes pas la cible directe des cybercriminels, le risque de compromission du réseau reste réel.

Les techniques innovantes ou sophistiquées ne sont pas toujours les plus efficaces

Le terme de menace persistante avancée (advanced persistent threat - APT) peut faire croire, à tort, que toutes les activités des attaquants seront originales et complexes. En réalité, même les attaquants les plus fortement dotés optent pour la solution de facilité. À savoir : exploitation de vulnérabilités connues, parfois de longue date (T1190 - Exploitation d’application publique), détournement de fonctionnalités légitimes d’accès distant (T1133 - Services distants externes) et vol d’informations grâce à des services en lignes bien connus (T1567 - Exfiltration via un service web).

Par ailleurs, nous avons noté des problèmes systémiques et des faiblesses courantes sur les réseaux, notamment des erreurs de configuration et des appareils connectés à Internet exposés. En bref, autant de failles ouvrant la voie aux cyberattaques.

Les attaquants savent se montrer patients et discrets après la compromission

La majorité des cybercriminels agissent par intérêt financier. Ils sont d’ailleurs nombreux à se déplacer rapidement et à annoncer leur présence en vue d’extorquer de l’argent à la victime. Mais dans d’autres cas, notamment à des fins d’espionnage, ils préfèrent éviter de déclencher des alertes, restant sous les radars des mécanismes de défense.

Les attaquants profitent parfois de la complexité des réseaux pour se cacher parmi la cohue des activités utilisateurs habituelles. Ils détournent ainsi des outils parfaitement légitimes dans l’environnement compromis, profitant de leur enracinement. Une approche terriblement efficace, qui souligne toute la difficulté de trier les activités bénignes et malveillantes pour les équipes de sécurité.

Prenons un exemple concret. Sauriez-vous différencier d’un seul coup d’œil un administrateur d’un groupe APT en vous basant sur les activités ci-dessous ?

Commandes exécutées
Modifications de la configuration des systèmes
Connexions
Trafic réseau

Technique	Tendances 2024
T1078 – Comptes valides	Cette technique figure parmi les principaux vecteurs d’accès initial, avec plus de 40 % des types de techniques groupées observées en lien avec cette tactique. Elle est probablement facilitée par des insuffisances dans la gestion des identités et des accès (IAM) et dans la gestion de la surface d’attaque (ASM), notamment : Absence de MFA (28 % des cas) Mots de passe faibles/par défaut (20 % des cas) Contrôles insuffisants de la force brute/du verrouillage de compte (17 % des cas) Comptes aux accès trop permissifs (17 % des cas)
T1059 - Interpréteur de scripts et de commandes	Il s’agit de la principale technique d’exécution. À titre d’exemple, plus de 61 % des cas associés à la tactique d’exécution exploitent PowerShell à cette fin. D’autres utilitaires système sont souvent détournés pour exécuter une variété de tâches, notamment d’autres appareils réseau natifs Windows, Unix et réseau, ainsi que des shells d’applications.
T1021 - Services distants	L’abus de ces services arrive largement en tête des techniques observées pour la latéralisation. À tel point que, sur les types de techniques groupées observées en lien avec cette tactique, plus de 86 % impliquaient des services distants. Ce phénomène met en exergue une tendance à réutiliser des identifiants légitimes. Loin des utilisations traditionnelles, ces identifiants servent plutôt à s’authentifier via des protocoles réseau internes, tels que RDP (> 48 % des cas), SMB (> 27 %) et SSH (> 9 %).

Technique

Tendances 2024

T1078 – Comptes valides

Cette technique figure parmi les principaux vecteurs d’accès initial, avec plus de 40 % des types de techniques groupées observées en lien avec cette tactique. Elle est probablement facilitée par des insuffisances dans la gestion des identités et des accès (IAM) et dans la gestion de la surface d’attaque (ASM), notamment :

Absence de MFA (28 % des cas)
Mots de passe faibles/par défaut (20 % des cas)
Contrôles insuffisants de la force brute/du verrouillage de compte (17 % des cas)
Comptes aux accès trop permissifs (17 % des cas)

T1059 - Interpréteur de scripts et de commandes

Il s’agit de la principale technique d’exécution. À titre d’exemple, plus de 61 % des cas associés à la tactique d’exécution exploitent PowerShell à cette fin. D’autres utilitaires système sont souvent détournés pour exécuter une variété de tâches, notamment d’autres appareils réseau natifs Windows, Unix et réseau, ainsi que des shells d’applications.

T1021 - Services distants

L’abus de ces services arrive largement en tête des techniques observées pour la latéralisation. À tel point que, sur les types de techniques groupées observées en lien avec cette tactique, plus de 86 % impliquaient des services distants. Ce phénomène met en exergue une tendance à réutiliser des identifiants légitimes. Loin des utilisations traditionnelles, ces identifiants servent plutôt à s’authentifier via des protocoles réseau internes, tels que RDP (> 48 % des cas), SMB (> 27 %) et SSH (> 9 %).

Tableau 3. Principales techniques de détournement d’outils légitimes constatées dans les missions IR d’Unit 42

Outre le détournement d’outils légitimes, nous avons remarqué qu’un nombre conséquent de cybercriminels tentaient d’utiliser des outils de désactivation EDR pour modeler leur terrain de jeu, notamment en vue de déployer des ransomwares. Près de 30 % des types de techniques groupées observées en lien avec le contournement des défenses incluait la technique T1562 – Perturbation des défenses, avec un assortiment de sous-techniques :

Les attaquants ne manquent pas d’inventivité dans les ruses employées, mais nous avons constaté une hausse des compromissions exploitant les pilotes vulnérables (Bring Your Own Vulnerable Driver - BYOVD). Cette technique permet d’obtenir les permissions requises pour contourner puis attaquer l’EDR, ainsi que toute autre protection installée sur un hôte compromis. Parmi les techniques apparentées, notons également :

Contremesures – Défendez-vous contre les TTP courantes et efficaces

Pour faire barrage aux attaques, les équipes de sécurité doivent conserver à tout moment une visibilité claire sur les surfaces d’attaque interne et externe de l’entreprise. Comment ? D’une part, en évaluant périodiquement les données ou appareils qui sont accessibles ou exposés à l’Internet public ; d’autre part, en réduisant au minimum les paramètres d’accès distant dangereux et les erreurs de configuration. En complément, l’organisation doit éliminer les équipements dont les systèmes d’exploitation obsolètes ne bénéficient plus de mises à jour de sécurité régulières. Aucune vulnérabilité dans les systèmes (même les plus anciens) ne doit vous échapper, surtout s’ils comportent du code PoC publié.

Autre mesure de défense : une base de référence actionnable pour votre environnement, recouvrant les comptes, les logiciels/applications et toutes les autres activités approuvées. Enfin, implémentez une journalisation rigoureuse et capitalisez sur des outils d’analyse rapprochant rapidement diverses sources de données afin de détecter des schémas de comportement inhabituels.

4. Recommandations aux équipes de sécurité

Dans ce chapitre, nous verrons en détail les lacunes systémiques les plus exploitées et les stratégies précises pour les corriger. Éliminer en amont ces vecteurs d’attaque permet de réduire considérablement les risques cyber, de renforcer la résilience et de garder une longueur d’avance sur les menaces d’aujourd’hui et de demain.

4.1 Principaux facteurs aggravants

Les problèmes systémiques figurent parmi les facteurs d’attaque les plus récurrents. Or, la correction préventive de ces problèmes réduit non seulement le risque, mais aussi l’impact des cyberattaques.

Avec plusieurs milliers d’incidents résolus à notre actif, nous avons pu identifier trois principaux catalyseurs : la complexité, les angles morts et une confiance excessive. En passant par ces vecteurs, les attaquants obtiennent un accès initial au réseau, où ils peuvent élever librement les privilèges et décupler l’ampleur de leurs dégâts. C’est pourquoi il est indispensable de prendre ces problèmes à bras le corps. À la clé : une fortification des défenses et un renforcement de la résilience.

Afficher tout + Tout masquer -

1. La complexité de la sécurité, fatale à l’efficacité des SecOps et de la réponse à incident

Bien souvent, les environnements IT et de sécurité consistent en un patchwork d’applications d’ancienne génération, adossées à une infrastructure greffée après coup. À cela s’ajoutent des projets de transformation qui n’ont simplement jamais abouti. Au total, de nombreuses entreprises finissent par s’appuyer sur une cinquantaine d’outils disparates pour leur sécurité. Achetés au coup par coup pour contrer des menaces spécifiques, ces outils pèchent généralement par leur manque d’intégration. Résultat : des données silotées qui privent les équipes d’une vue unifiée sur les environnements.

Dans 75 % de nos investigations, nous avons découvert des preuves déterminantes de l’intrusion dans les journaux. Et pourtant, ces informations n’étaient pas facilement accessibles ni réellement opérationnalisées du fait de la complexité des systèmes décousus, laissant les attaquants libres d’exploiter les failles en toute impunité.

Par ailleurs, il est essentiel de disposer de plusieurs sources de données afin de détecter et de répondre efficacement aux menaces. Pour preuve : dans 85 % des incidents environ, la corrélation de données issues de plusieurs sources a permis de faire la pleine lumière sur l’ampleur et l’impact des dégâts. Pour près de la moitié d’entre eux (46 %), nous avons dû croiser au moins quatre sources de données différentes. Faute de communication entre ces systèmes ou de télémétrie complète, les informations essentielles restent enfouies jusqu’à ce qu’il soit trop tard.

Illustration:
Dans une attaque par ransomware, le système de détection et réponse sur les terminaux (EDR) a repéré la latéralisation, alors que la compromission initiale était enfouie dans les journaux non surveillés du réseau. Cette visibilité fragmentée a considérablement retardé la détection, laissant amplement le temps aux attaquants d’exfiltrer les données et de déployer des ransomwares.

2. Angles morts : comment protéger des ressources dont on ignore l’existence ?

L’efficacité des SecOps repose entièrement sur une visibilité complète à l’échelle de toute l’entreprise. Pourtant, nombreuses sont les structures qui comptent encore des angles morts. À ce titre, les services cloud sont particulièrement problématiques. L’étude d’Unit 42 révèle que les entreprises lancent en moyenne 300 nouveaux services cloud chaque mois. Sans une bonne visibilité sur le runtime, les équipes SecOps passent aussi bien à côté des expositions que des attaques. Terminaux, applications, Shadow IT… les assets non gérés et non surveillés constituent autant de portes d’entrée sur l’environnement de l’entreprise pour les acteurs mal intentionnés.

De fait, les problèmes liés aux outils de sécurité et de gestion ont même facilité les attaques dans près de 40 % des cas. Les cybercriminels se sont en effet engouffrés dans ces failles pour établir leur présence, se latéraliser et s’octroyer des privilèges à l’insu de l’entreprise.

Illustration :
Dans l’un des incidents, Muddled Libra a exploité un compte utilisateur privilégié pour s’accorder des permissions dans l’environnement AWS de la victime, obtenant ainsi les droits nécessaires à l’exfiltration de données. Or, l’activité suspecte est d’abord passée sous les radars, le service cloud n’étant pas intégré au SOC ni au SIEM de la structure.

3. L’excès de confiance amplifie l’impact

Les accès trop permissifs représentent un danger potentiel. Dans les incidents pris en charge par Unit 42, les comptes trop permissifs et les contrôles des accès lacunaires ont systématiquement été exploités comme leviers d’intensification des attaques.

D’ailleurs, nous avons observé dans 41 % de nos missions au moins un facteur lié aux problèmes de gestion des identités et des accès, notamment les comptes et rôles trop permissifs. Et les conséquences sont fâcheuses : latéralisation, avec accès aux informations et aux applications sensibles, qui permettent aux attaquants de parvenir à leurs fins.

Là aussi, les environnements cloud sont particulièrement vulnérables. Ainsi, les chercheurs d’Unit 42 ont découvert que les problèmes de gestion des identités et des accès, notamment les comptes et rôles trop permissifs, constituaient au moins un des facteurs contribuant aux incidents cloud dans près de la moitié des cas.

Très souvent, les attaquants acquéraient des accès bien plus étendus que les types de rôle compromis n’auraient jamais dû leur fournir. Que ce soit par phishing, vol d’identifiant ou exploitation de vulnérabilités, le tout est d’obtenir l’accès initial. Car une fois infiltrés, les acteurs malveillants peuvent rapidement élever les privilèges, exfiltrer les données et perturber les opérations.

Illustration :
Nous sommes intervenus dans une entreprise de services IT dont les comptes admin permissifs avaient été exploités pour latéraliser l’attaque et élever les privilèges, après une intrusion par force brute sur un VPN dépourvu d’autorisation multifacteur. Forts de cette confiance excessive, les cybercriminels ont pu déployer le ransomware sur 700 serveurs ESXI, touchant ainsi plus de 9 000 systèmes, avec des conséquences catastrophiques sur les principales opérations métiers.

4.2. Recommandations aux équipes de sécurité

Complexité, angles morts et confiance excessive : trois maux auxquels les équipes de sécurité doivent absolument remédier pour réduire significativement le risque et l’impact des cyberattaques. Ce faisant, elles évitent non seulement les interruptions longues et les corrections de compromissions au coût conséquent, mais préservent aussi la continuité opérationnelle et la confiance des parties prenantes. Retrouvez ci-dessous les stratégies que nous recommandons pour vous attaquer de front à ces problèmes systémiques.

Afficher tout +

1. SecOps : plus de visibilité pour une réponse accélérée

Le SOC constitue votre dernier rempart. Lorsque les lignes de défense tombent les unes après les autres, avec l’échec des différents contrôles (réseau, identités, terminaux et applications), l’équipe a besoin de l’arsenal adéquat pour détecter les cybermenaces et réagir rapidement avant qu’elles ne dégénèrent. C’est là que l’organisation doit fournir au SOC une visibilité complète sur toute l’entreprise, ainsi que les technologies pour dépister les signaux inquiétants.

Ingestion de toutes les données de sécurité pertinentes – Infrastructure cloud, systèmes on-prem, identités, terminaux, applications… agrégez et normalisez toutes ces données télémétriques au sein d’un référentiel centralisé. Cette visibilité unifiée réduit les angles morts, tout en évitant d’avoir à jongler avec une myriade d’outils. Cartographiez les surfaces d’attaque interne et externe pour dresser l’inventaire de tous vos assets et de leurs responsables. En outre, l’intégration de la Threat Intelligence vous aide à cibler en priorité les indicateurs de risque élevé.
Détection et priorisation des menaces par IA – Passez au crible de vastes jeux de données à l’aide de l’intelligence artificielle et du machine learning, à la recherche de menaces furtives et de comportements anormaux. Les analyses pilotées par IA contribuent à prédire les attaques en amont. D’autre part, le SOC doit mesurer les progrès en suivant l’évolution du MTTD. Un Threat Hunting régulier, combiné à la corrélation de signaux issus de plusieurs sources de données, simplifie grandement la sécurisation de l’entreprise. Vous n’aurez plus l’impression de chercher une aiguille dans une botte de foin.
Réponse aux menaces en temps réel grâce à l’automatisation – Avec l’automatisation des workflows de réponse à incident, les menaces sont endiguées à vitesse machine, avant même que l’attaquant ne puisse s’octroyer des privilèges ou exfiltrer des données sensibles. Pour améliorer sans cesse ses capacités, le SOC doit suivre l’évolution du MTTR. En outre, une fluidité d’intégration entre les plateformes SOC, les systèmes IT et les applications métiers élimine les goulets d’étranglement qui retardent généralement la résolution.
Transition d’une posture réactive à une sécurité proactive – Combinez exercices Red Team, simulations d’incident et évaluations continues de la sécurité. L’objectif : affiner la logique de détection et les playbooks de réponse. Cette boucle de feedback constante permet au SOC de s’adapter aux nouvelles menaces. En offrant des formations avancées à l’équipe SecOps, vous comblez les lacunes dans les connaissances et préparez votre entreprise à affronter la prochaine vague d’attaques.
Renforcement de votre équipe avec nos experts IR – Avec une équipe IR externe dédiée, comme Unit 42, vous bénéficiez d’experts disponibles jour et nuit en renfort pour stopper les incidents en pleine escalade. Outre les interventions d’urgence, vous pouvez faire valoir les crédits prépayés de votre contrat d’astreinte sur tout un éventail de services proactifs : Threat Hunting, exercices de simulation, déploiement d’une Purple Team, etc. Le but ? Améliorer votre état de préparation et fortifier vos défenses avant qu’il ne soit trop tard.

Appliquées à votre SOC, ces quelques mesures clés vous aident à déjouer les attaques, endiguer les incidents rapidement et perfectionner vos défenses en anticipation des futures menaces.

2. Accélération de la transition vers le Zero Trust

Le Zero Trust est une stratégie de sécurité qui consiste à éliminer toute confiance implicite et à valider tous les utilisateurs, appareils et applications, indépendamment de l’emplacement ou de la plateforme. Une transition complète est un projet complexe et ambitieux. Mais la moindre amélioration contribuera déjà à réduire les risques, protéger les données sensibles et renforcer la résilience. Pour une transition vers le Zero Trust fluide, ces quelques recommandations stratégiques visent à corriger les trois points faibles les plus exploités par les attaquants – la complexité, les angles morts et la confiance excessive.

Identification et vérification de tous les utilisateurs, appareils et applications – Authentifiez toutes les entités sans exception avant d’autoriser l’accès, qu’elles soient humaines ou technologiques, sur site ou à distance. Créant ainsi un référentiel centralisé des identités, vous éliminez les angles morts du réseau et réduisez la complexité. Ensuite, la surveillance continue des entités vérifiées permet de minimiser les accès non autorisés.
Accès strictement soumis au principe de moindre privilège – Limitez les autorisations aux accès dont les rôles ont véritablement besoin, en appliquant des règles contextuelles qui tiennent compte des identités, de la posture de sécurité des appareils et de la sensibilité des données. En éradiquant tout problème de confiance excessive, vous restreignez le risque de dégâts en cas de compromission d’un compte. La segmentation du réseau isole davantage les assets critiques et fait obstacle à la latéralisation.
Inspection complète de la sécurité – Analysez le trafic réseau, flux chiffrés inclus, pour prévenir et détecter les menaces actives sans compromis sur la performance. Personnalisez les contrôles en fonction des différents environnements (cloud, IoT, etc.) afin de simplifier les opérations et d’éviter les angles morts. Ces inspections intégrées rendent la détection des menaces plus précise et accélèrent la réponse à incident.
Contrôle des accès aux données et des déplacements – Protégez les informations sensibles en classant les données et en appliquant des politiques de traitement rigoureuses. Les outils de prévention des pertes de données (DLP) surveillent les flux et interrompent les transferts non autorisés. Votre entreprise est ainsi à l’abri des vols de propriété intellectuelle, des violations de conformité et de graves répercussions financières.

Même adoptés progressivement, une étape à la fois, ces principes de Zero Trust éliminent les principaux facteurs d’attaque. En parallèle, ils érigent un modèle de sécurité pérenne qui gagnera la confiance de l’équipe de direction.

3. Sécurisation des applications et du cloud, du développement au runtime

Les environnements cloud et les supply chains logicielles sont les cibles privilégiées des attaquants. Pour garder un coup d’avance sur vos adversaires, trois mesures s’imposent : 1) intégrer la sécurité aux DevOps, 2) obtenir une visibilité en temps réel sur les erreurs de configuration et les vulnérabilités et 3) donner au SOC les moyens de surveiller l’infrastructure en continu et de répondre aux attaques cloud. Suivez nos recommandations pour intégrer la sécurité à chaque étape du cycle de développement logiciel, un impératif pour prévenir les compromissions avant la mise en production et enrayer les menaces en temps réel.

Bloquez la mise en production de code non sécurisé – Intégrez la sécurité très tôt dans le cycle de développement, en agissant à trois niveaux : renforcement des outils de développement et DevOps ; gouvernance des composants tiers et open-source, et analyses continues pendant le processus CI/CD. Cette approche shift-left vous permet de déceler les vulnérabilités avant la mise en production.
Corrigez les failles récemment découvertes dans votre sécurité – Surveillez en permanence l’infrastructure cloud pour détecter les erreurs de configuration, les vulnérabilités et les permissions excessives. Grâce à l’automatisation, les outils d’analyse et de remédiation basée sur les risques identifient et maîtrisent les problèmes dès leur apparition. Une condition essentielle pour empêcher les attaquants d’établir leur présence dans l’environnement.
Identifiez et bloquez les attaques sur le runtime – Protégez les applications, les API et les workloads grâce à des capacités de détection des menaces en temps réel associées à des contrôles préventifs. Le suivi en continu facilite la neutralisation des activités malveillantes en cours, réduisant au minimum les perturbations opérationnelles et interceptant les menaces en amont.
Automatisez la détection et la réponse dans le cloud – Misez sur des services cloud-native et des outils de sécurité tiers pour automatiser la réponse à incident. La suppression des freins manuels laisse moins de temps aux attaquants pour tenter de se propager, d’exfiltrer des données ou d’élever les privilèges.

En priorisant ces capacités, vous neutralisez les menaces émergentes dans le cloud et dans la supply chain logicielle, ce qui coupe court à toute tentative de compromission de l’environnement.

5. Annexe : techniques MITRE ATT&CK^® par tactique, type d’investigation et autres données

5.1 Présentation des techniques MITRE ATT&CK observées par tactique

Les graphiques ci-dessous (Figures 5-16) montrent les techniques MITRE ATT&CK® que nous avons observées dans le cadre de tactiques d’attaque précises. Les pourcentages indiqués représentent la prévalence d’une technique donnée par rapport aux autres types de techniques vus pour chaque tactique. Ils ne correspondent pas à la fréquence des techniques dans l’ensemble de nos missions.

Accès initial

Figure 5. Prévalence relative des techniques observées dans le cadre de la tactique d’accès initial

5.2. Données par région et secteur

En 2024, la majeure partie des investigations que nous avons menées portaient sur des intrusions réseau (environ 25 % des cas). En réalité, ce chiffre a priori affolant est une bonne nouvelle : nous appliquons cette classification uniquement si nous n’observons aucune autre activité malveillante. Pour nous, cette hausse signifie que les clients nous appellent plus tôt dans la chaîne d’attaque, du moins dans certains cas. Grâce à leur réactivité, nous pouvons stopper les attaquants avant qu’ils n’atteignent leurs autres objectifs.

Bien que les équipes de sécurité partagent de nombreuses préoccupations, certaines différences apparaissent en fonction du secteur et de la région.

En Amérique du Nord, la compromission de la messagerie professionnelle vient juste après l’intrusion sur le réseau (19 % contre 23 % des cas). Dans la région EMEA, tous types d’extorsions confondus (avec et sans cryptage), cette méthode dépasse légèrement l’intrusion sur le réseau selon nos données (31 % contre 30 % des cas).

Intéressons-nous maintenant aux données par secteur. Très clairement, l’extorsion représente une inquiétude majeure pour les entreprises. Dans le secteur high-tech, l’extorsion avec et sans cryptage est également le premier type d’investigation (22 %). Il en est de même dans l’industrie, le secteur le plus représenté sur les sites de leak du Dark Web tenus par les groupes de ransomware (25 %).

La compromission de la messagerie professionnelle demeure une menace majeure, en particulier pour les services financiers (25 % des cas), les services juridiques et professionnels (23 %), ainsi que la vente en gros et le retail (21 %).

Dans un grand nombre de cas, les services cloud déployés par les entreprises ont servi de vecteur ou ont été impactés par l’attaque. Néanmoins, les compromissions visant principalement le plan de contrôle ou de données du cloud représentent un nombre encore modeste mais en pleine augmentation : 4 % des cas au total, une tendance encore plus notable dans des secteurs comme la high-tech et les services professionnels et juridiques (9 % pour les deux). L’impact potentiel de ces attaques visant spécifiquement le cloud est immense. Lorsqu’ils attaquent le plan de contrôle du cloud, les cybercriminels peuvent accéder à la totalité de l’infrastructure cloud. Or, compte tenu du type et de la portée des données qui y sont stockées, ce sont de grands volumes de données sensibles qui risquent d’être volés.

Lire la suite Afficher moins

Type d’investigation par région

Amérique du Nord

Figure 17. Type d’investigation par région - Amérique du Nord

Type d’investigation par secteur

Les Figures 19 à 24 ci-dessous montrent la répartition des principaux types d’investigation dans les six secteurs les plus représentés dans nos données de réponse à incident.

High-tech

Figure 19. Type d’investigation par secteur - High-tech

6. Données et méthodologie

Pour ce rapport, nous avons puisé nos données dans plus de 500 missions d’Unit 42 réalisées entre octobre 2023 et décembre 2024, que nous avons complétées par des cas remontant à 2021.

Le profil des clients touchés était très éclectique, allant de la petite entreprise de moins de 50 salariés aux multinationales du Fortune 500 et du Global 2000 et aux administrations de plus de 100 000 employés.

Basées dans 38 pays différents au total, les organisations touchées se concentraient néanmoins en majeure partie aux États-Unis (80 %). Les 20 % restant recouvrent les régions Europe, Moyen-Orient et Asie-Pacifique. Souvent, les attaques se répercutent au-delà des sièges sociaux des entreprises.

Par ailleurs, nous avons combiné les données de nos missions à nos recherches sur les menaces, fondées sur la télémétrie générée par les produits, nos observations sur les sites de leak du Dark Web et d’autres données open-source.

Nos experts IR ont également fait remonter les principales tendances qu’ils ont pu cerner lors de leurs interventions chez les clients.

Plusieurs facteurs peuvent influencer la nature même de nos données, notamment une tendance à collaborer avec de grandes entreprises à la posture de sécurité plutôt mature. En outre, nous mettons en avant certains cas qui, selon nous, sont révélateurs de tendances émergentes. Autrement dit, nous nous sommes parfois concentrés sur de petits segments du jeu de données.

Pour certains sujets, nous avons fait le choix de filtrer nos données, de sorte à éliminer les facteurs susceptibles de fausser nos résultats. Par exemple, nous avons proposé nos services de réponse à incident pour aider nos clients à enquêter sur les répercussions possibles de CVE-2024-3400. Conséquence : cette vulnérabilité se retrouve surreprésentée dans notre jeu de données. Occasionnellement, nous avons corrigé les données pour lisser cette surreprésentation.

À travers ces démarches, notre principal objectif restait de fournir aux lecteurs des éclairages sur les menaces d’aujourd’hui et de demain pour les aider à renforcer leurs défenses.

Contributeurs

Aditi Adya, Consultante

Jim Barber, Consultant senior

Richard Emerson, Responsable, Unité de réponse CTI

Evan Gordenker, Responsable senior conseil

Michael J. Graven, Directeur, Opérations de conseil internationales

Eva Mehlert, Directrice principale et Responsable des communications internes, Unit 42

Lysa Myers, Rédactrice technique senior

Erica Naone, Responsable senior, Mobilisation externe, Unit 42

Dan O’Day, Directeur conseil

Prashil Pattni, Chercheur senior

Laury Rodriguez, Consultante

Sam Rubin, Vice-présidente senior, Consulting en cybersécurité et Threat Intelligence d’Unit 42

Doel Santos, Chercheur principal

Mike Savitz, Directeur conseil senior

Michael Sikorski, CTO et VP de l’ingénierie, Unit 42

Samantha Stallings, Directrice de production senior

Jamie Williams, Chercheur principal, CTI

Rapport sur la réponse à incident - 2025

Synthèse

1. Introduction

SAM RUBIN

Prêt à déjouer les cyberattaques ?

Gardez un coup d’avance sur vos adversaires en suivant les actualités de notre rapport sur la réponse à incident.

Le savoir, une arme de défense essentielle.

2. Menaces émergentes et tendances

Mouvement 1 – Au commencement était le cryptage

Mouvement 2 – Surenchère par exfiltration de données

Mouvement 3 – Perturbations intentionnelles des opérations

Contremesures – Faites preuve de résilience face à des perturbations accrues

Tendance 2 – Impact croissant des attaques contre la supply chain logicielle et le cloud

Tendance 3 – Vitesse : des attaques toujours plus rapides, qui prennent le SOC de court

Contremesures – Faites barrage à des attaques en constante accélération

Tendance 4 – L’irrésistible ascension des menaces internes : la frénésie des groupes nord-coréens

Prestataires externes

Évolution des tactiques

Experts IT espions : un large éventail de menaces

Contremesures – Prévenez les menaces internes

Tendance 5 – L’émergence des attaques pilotées par IA

Intensification des attaques grâce à la GenAI

Vitesse et IA

Contremesures – Parez aux attaques pilotées par IA

3. Modes opératoires des attaquants : tactiques, techniques et procédures courantes

Les acteurs malveillants n’hésitent pas à multiplier les fronts d’attaque

Le navigateur représente un vecteur de menaces clé

3.1. Intrusion : l’essor de l’ingénierie sociale, à toutes les échelles

Contremesures – Prémunissez-vous contre l’ingénierie sociale

3.2. Éclairages sur les techniques d’attaque observées par Unit 42

Tous les accès sont décisifs

Les techniques innovantes ou sophistiquées ne sont pas toujours les plus efficaces

Les attaquants savent se montrer patients et discrets après la compromission

Contremesures – Défendez-vous contre les TTP courantes et efficaces

4. Recommandations aux équipes de sécurité

4.1 Principaux facteurs aggravants

1. La complexité de la sécurité, fatale à l’efficacité des SecOps et de la réponse à incident

2. Angles morts : comment protéger des ressources dont on ignore l’existence ?

3. L’excès de confiance amplifie l’impact

4.2. Recommandations aux équipes de sécurité

5. Annexe : techniques MITRE ATT&CK® par tactique, type d’investigation et autres données

5.1 Présentation des techniques MITRE ATT&CK observées par tactique

5.2. Données par région et secteur

Type d’investigation par région

Type d’investigation par secteur

6. Données et méthodologie

Contributeurs

Tendance 4 – L’irrésistible ascension des menaces internes :
la frénésie des groupes nord-coréens

5. Annexe : techniques MITRE ATT&CK^® par tactique, type d’investigation et autres données