Le « temps d’arrêt » médian des acteurs de la menace a chuté en 2021

Les temps de séjour des cyberattaques – le temps que les acteurs malveillants passent dans un environnement de victime avant d’être détectés – sont passés de 24 jours en 2020 à 21 jours en 2021, selon les renseignements publiés aujourd’hui par Mandiant, rassemblés à partir d’incidents auxquels il a répondu.

La statistique principale semble montrer que les défenseurs ont en général considérablement amélioré leurs postures de détection et de réponse aux menaces, comme l’a observé Sandra Joyce, vice-présidente exécutive de Mandiant Intelligence, plusieurs aspects positifs des années précédentes se sont poursuivis en 2021.

« Nous constatons plusieurs améliorations malgré un paysage de menaces incroyablement difficile », a déclaré Joyce. « Ce rapport de M-Trends a le temps de séjour médiatique mondial le plus bas jamais enregistré. En outre, APAC [Asia-Pacific] et EMEA [Europe, Middle East and Africa] ont montré les plus grandes améliorations dans plusieurs catégories de détection des menaces par rapport aux années précédentes.

Néanmoins, les nouvelles positives sont tempérées par la certitude que les acteurs de la menace continuent d’innover et de s’adapter, et Mandiant a suggéré que l’omniprésence des attaques de ransomware en 2021 pourrait également expliquer en partie le déclin – les opérateurs de ransomware à motivation financière ont tendance à couper à la poursuite beaucoup plus rapidement que les autres acteurs de la menace, a-t-il déclaré.

En effet, en 2021, Joyce a déclaré que Mandiant avait rencontré « plus de groupes de menaces que toute autre période précédente ».

« Dans une tendance parallèle, au cours de cette période, nous avons commencé à suivre plus de nouvelles familles de logiciels malveillants que jamais auparavant. Dans l’ensemble, cela témoigne d’un paysage de menaces qui continue d’augmenter en volume et en diversité des menaces », a-t-elle déclaré. « Nous continuons également de voir le gain financier être une motivation principale pour les attaquants observés. »

L’année dernière, Mandiant a commencé à suivre plus de 1 100 nouveaux groupes de menaces et 733 nouvelles familles de logiciels malveillants, dont 86% n’étaient pas accessibles au public – une autre tendance en cours parmi les acteurs de la menace semble être de restreindre l’accès à leurs outils ou de les développer en privé.

Les opérateurs de ransomwares, en particulier, se tournent vers des tactiques, des techniques et des procédures (TTP) plus multiformes à la recherche d’un gros paiement, et 2021 les a vus exploiter de plus en plus les faiblesses de l’infrastructure de virtualisation dans les grandes organisations.

« L’extorsion multiforme et les ransomwares continuent de poser d’énormes défis aux organisations de toutes tailles et de tous les secteurs, le rapport M-Trends de cette année notant une augmentation spécifique des attaques ciblant l’infrastructure de virtualisation », a déclaré Jurgen Kutscher, vice-président exécutif de la prestation de services chez Mandiant.

« La clé du renforcement de la résilience réside dans la préparation. L’élaboration d’un plan de préparation robuste et d’un processus de récupération bien documenté et testé peut aider les organisations à naviguer avec succès dans une attaque et à revenir rapidement à des opérations commerciales normales. »

Les attaques de la chaîne d’approvisionnement ont également été de plus en plus en faveur comme moyen de compromis initial, passant de moins de 1% du total observé en 2020 à 17% en 2021, bien que le plus grand vecteur d’infection reste de loin l’exploitation des vulnérabilités zero-day, qui ont été observées dans 37% des incidents, tandis que le phishing représentait 11%, ce qui était en nette baisse.

« Alors que les exploits continuent de gagner du terrain et restent le vecteur d’infection le plus fréquemment identifié, le rapport note une augmentation significative des attaques de la chaîne d’approvisionnement. Inversement, il y a eu une baisse notable du phishing cette année, reflétant la sensibilisation accrue des organisations et leur capacité à mieux détecter et bloquer ces tentatives », a observé Kutscher.

« Compte tenu de l’utilisation accrue continue des exploits comme vecteur de compromis initial, les organisations doivent continuer à se concentrer sur l’exécution des principes fondamentaux de la sécurité, tels que la gestion des actifs, des risques et des correctifs. »

Enfin, le rapport note également un réalignement et un réoutillage des opérations de cyberespionnage émanant de la Chine – ce qui pourrait s’aligner sur la mise en œuvre des 14^ième Plan quinquennal l’an dernier.

À l’avenir, les organisations devraient être sur leurs gardes face à une augmentation probable des attaques provenant d’acteurs du lien avec la Chine. Contrairement aux opérations dirigées par le renseignement de la Russie et aux cyberattaques destructrices contre les infrastructures, telles que les récentes cyberattaques à l’appui de la guerre contre l’Ukraine, les opérations chinoises ont tendance à cibler la propriété intellectuelle et les préoccupations économiques d’importance stratégique.