Les responsables informatiques craignent le « ruissellement » des cyberattaques des États-nations

Près des trois quarts des responsables informatiques craignent que le ruissellement des tactiques, techniques et procédures de cyberattaque (TTP) utilisés par les acteurs soutenus par l’État-nation n’impacte leur activité, selon de nouvelles données de HP Wolf Security, l’unité de protection des terminaux de HP Inc.

Au total, 1 100 décideurs informatiques ont été interrogés par Toluna en Australie, au Canada, en Allemagne, au Japon, au Mexique, au Royaume-Uni et aux États-Unis plus tôt en 2021, et les sondeurs ont constaté que 72% d’entre eux craignaient que les TTP des États-nations puissent filtrer à travers le dark web et être utilisés contre eux.

HP Wolf a déclaré que cette crainte était justifiée, car des preuves ont déjà émergé que les gangs de ransomware non affiliés à APT29 ou Cozy Bear de Russie, le groupe qui a piraté la plate-forme SolarWinds Orion dans une campagne d’espionnage axée sur les États-Unis, ont utilisé certains des TTP exploités par les spooks dans leurs propres campagnes.

« Les outils développés par les États-nations ont fait leur chemin sur le marché noir à de nombreuses reprises », a déclaré Ian Pratt, responsable mondial de la sécurité des systèmes personnels chez HP Inc. « Un exemple tristement célèbre est l’exploit Eternal Blue, qui a été utilisé par les pirates WannaCry.

« Maintenant, le retour sur investissement est assez fort pour permettre aux gangs de cybercriminels d’augmenter leur niveau de sophistication afin qu’ils puissent commencer à imiter certaines des techniques déployées par les États-nations.

« La récente attaque de la chaîne d’approvisionnement logicielle lancée contre les clients de Kaseya par un gang de ransomwares en est un bon exemple. C’est la première fois que je me souviens d’un gang de ransomware utilisant une attaque de chaîne d’approvisionnement logicielle de cette manière.

Pratt a déclaré que l’incident de Kaseya avait créé un plan pour les acteurs de la menace financièrement motivés afin de monétiser les attaques développées par les acteurs de l’État-nation, ce qui signifiait qu’elles étaient maintenant susceptibles de se généraliser.

« Auparavant, un fournisseur de logiciels indépendant [ISV] avec une clientèle de taille modeste qui n’approvisionnait pas le gouvernement ou les grandes entreprises, il était peut-être peu probable qu’elle soit ciblée comme tremplin dans une attaque de la chaîne d’approvisionnement », a-t-il déclaré. « Maintenant, les éditeurs de logiciels indépendants de tous types sont très susceptibles d’être attaqués et entraîneront l’utilisation de logiciels et de services compromis pour attaquer leurs clients. »

Outre le risque lié aux cybercriminels, plus de la moitié – 58 % – des décideurs se sont dits préoccupés par le fait d’être directement ciblés par un État-nation, et 70 % craignaient qu’ils ne finissent par devenir des dommages collatéraux dans une hypothétique cyberguerre future. Les principales préoccupations liées aux attaques des États-nations étaient le sabotage de systèmes informatiques ou de données, la perturbation des opérations quotidiennes, la perte ou le vol de données et la perte de revenus.

« Il s’agit d’une menace très réelle que les organisations doivent prendre au sérieux », a déclaré Pratt. « Qu’il s’agisse de se défendre contre un gang cybercriminels à l’aide d’outils et de techniques d’État-nation, ou d’un État-nation lui-même, les organisations sont confrontées à un adversaire encore plus déterminé que jamais. »

Il a conseillé aux décideurs de réévaluer la façon dont ils gèrent les cyberrisques. Étant donné qu’aucun outil ou technique ne peut à lui seul garantir une protection à 100 %, les dirigeants doivent adopter une approche plus architecturale de la cybersécurité, a déclaré M. Pratt.

« Cela signifie une atténuation grâce à des architectures de sécurité robustes qui réduisent de manière proactive la surface d’attaque, grâce à une segmentation fine, à des principes de moindre privilège et à un contrôle d’accès obligatoire. »