Le rapport Mandiant M-Trends 2022 donne un aperçu de l’évolution du paysage mondial des cybermenaces

avril 2022 par Mandiant Threat Intelligence

Mandiant, Inc annonce les conclusions du rapport Mandiant® M-Trends® 2022, le rapport annuel qui fournit des données et des informations importantes basées sur les analyses et investigations de Mandiant sur le terrain partout sur la planète, ainsi que les informations collectées pendant les phases de rémediations de ces incidents. Le rapport 2022 - qui utilise les données collectées entre le 1er octobre 2020 et le 31 décembre 2021 - révèle que si des progrès significatifs ont été réalisés dans la détection et la réponse aux menaces, Mandiant continue de voir les adversaires innover et s’adapter pour accomplir leur mission dans les environnements de leur cible.

Le temps de présence médian dans le monde tombe à trois semaines

Selon le rapport M-Trends 2022, le temps de présence médian mondial - qui correspond au nombre de jours pendant lesquels un attaquant est présent dans l’environnement d’une cible avant d’être détecté - est passé de 24 jours en 2020 à 21 jours en 2021. En creusant davantage, le rapport note que la région APAC a connu la plus forte baisse du temps de présence médian, passant de 76 jours en 2020 à seulement 21 jours en 2021. Le temps de présence médian a également diminué dans la région EMEA, passant de 66 jours l’année précédente à 48 jours en 2021. Sur le continent américain, le temps de présence médian est resté stable à 17 jours.

En comparant la manière dont les menaces ont été détectées dans les différentes régions, le rapport a constaté qu’en EMEA et APAC, la majorité des intrusions en 2021 ont été identifiées par des tiers externes (62 % et 76 %, respectivement), soit une inversion de ce qui avait été observé en 2020. En Amérique, la détection par la source est restée constante, la plupart des intrusions étant détectées en interne par les organisations elles-mêmes (60%).

Selon le rapport, l’amélioration de la visibilité et de la réponse aux menaces par les organisations, ainsi que l’omniprésence des ransomwares - dont la durée médiane de présence est nettement inférieure à celle des intrusions non liées aux ransomwares - sont probablement les facteurs qui expliquent la réduction de la durée médiane de présence.

De nouvelles menaces apparaissent alors que la Chine intensifie ses activités d’espionnage

Mandiant continue d’élargir sa vaste base de connaissances sur les menaces grâce à des à ses investigations sur le terrain, à l’analyse des rapports publics, au partage d’informations et à d’autres méthodes de recherche propriétaires. Grâce à une collecte et une analyse approfondie des informations, les experts de Mandiant ont commencé à suivre plus de 1 100 nouveaux groupes de menaces au cours de la période couverte par le rapport M-Trends. Mandiant a également commencé à suivre 733 nouvelles familles de logiciels malveillants, dont 86 % n’étaient pas publiques.

Le rapport M-Trends 2022 fait également état d’un réalignement et d’un rééquipement des opérations de cyberespionnage de la Chine pour s’aligner sur la mise en œuvre de son 14e plan quinquennal en 2021. Le rapport prévient que les priorités nationales incluses dans le plan « signalent une augmentation prochaine du nombre d’acteurs chinois menant des tentatives d’intrusion contre la propriété intellectuelle ou d’autres préoccupations économiques d’importance stratégique, ainsi que contre les produits de l’industrie de la défense et d’autres technologies à double usage au cours des prochaines années ».

Renforcement de la posture de sécurité

Mandiant s’engage à aider toutes les organisations à rester à l’abri des cybermenaces et à renforcer la confiance dans leur préparation à la cyberdéfense. Pour soutenir cette mission, Mandiant fournit des conseils de réduction des risques tout au long du rapport, notamment pour atténuer les erreurs de configuration courantes lors de l’utilisation d’Active Directory sur site, de services de certificats, de plateformes de virtualisation et d’infrastructures basées sur le cloud. Le rapport renforce également les considérations visant à soutenir les programmes de sécurité proactifs, réitérant l’importance des initiatives de sécurité de longue date telles que la gestion des actifs, les politiques de conservation des journaux et la gestion des vulnérabilités et des correctifs.

Pour soutenir davantage les efforts de la communauté et de l’industrie, Mandiant fait continuellement correspondre ses conclusions au cadre MITRE ATT&CK, en faisant correspondre plus de 300 techniques Mandiant supplémentaires au cadre en 2021. Le rapport indique que les organisations devraient prioriser les mesures de sécurité à mettre en œuvre en fonction de la probabilité d’utilisation de techniques spécifiques lors d’une intrusion. Selon le rapport, « en examinant la prévalence de l’utilisation des techniques lors d’intrusions récentes, les organisations sont mieux équipées pour prendre des décisions de sécurité intelligentes. »

Autres points à retenir du rapport M-Trends 2022 :

• Vecteur d’infection : Pour la deuxième année consécutive, les exploits restent le vecteur d’infection initiale le plus fréquemment identifié. En fait, parmi les incidents auxquels Mandiant a répondu pendant la période de référence, 37 % ont commencé par l’exploitation d’une vulnérabilité de sécurité, par opposition au phishing, qui ne représentait que 11 %. Les compromissions de la chaîne d’approvisionnement ont augmenté de façon spectaculaire, passant de moins de 1 % en 2020 à 17 % en 2021.

• Industries cibles touchées : Les services commerciaux et professionnels et les services financiers sont les deux principales industries ciblées par les adversaires (14 %, respectivement), suivies par les soins de santé (11 %), le commerce de détail et l’hôtellerie (10 %) et la technologie et le gouvernement (tous deux à 9 %).

• Nouvelles tactiques d’extorsion et de ransomware à multiples facettes : Mandiant a observé que les auteurs d’extorsions et de ransomwares à multiples facettes utilisaient de nouvelles tactiques, techniques et procédures (TTP) pour déployer des ransomwares rapidement et efficacement dans les environnements professionnels, notant que l’utilisation généralisée de l’infrastructure de virtualisation dans les environnements d’entreprise en a fait une cible de choix pour les auteurs de ransomwares.

Témoignages de dirigeants

« Le rapport M-Trends de cette année révèle un nouvel aperçu de la façon dont les acteurs de la menace évoluent et utilisent de nouvelles techniques pour accéder aux environnements cibles. Alors que les exploits continuent de gagner du terrain et restent le vecteur d’infection le plus fréquemment identifié, le rapport note une augmentation significative des attaques de la chaîne d’approvisionnement. À l’inverse, le phishing a connu une baisse sensible cette année, ce qui témoigne de la sensibilisation accrue des organisations et de leur capacité à mieux détecter et bloquer ces tentatives. Compte tenu de l’utilisation croissante des exploits comme vecteur initial de compromission, les organisations doivent continuer à se concentrer sur l’exécution des principes fondamentaux de la sécurité, tels que la gestion des actifs, des risques et des correctifs. » - Jurgen Kutscher, vice-président exécutif, Service Delivery, Mandiant

« L’extorsion à multiples facettes et les ransomwares continuent de poser d’énormes problèmes aux organisations de toutes tailles et de tous les secteurs, le rapport de cette année notant une augmentation spécifique des attaques ciblant l’infrastructure de virtualisation. La clé de la résilience réside dans la préparation. L’élaboration d’un plan de préparation solide et d’un processus de récupération bien documenté et testé peut aider les organisations à surmonter une attaque et à retrouver rapidement un fonctionnement normal. » - Jurgen Kutscher, vice-président exécutif, Service Delivery, Mandiant

« L’activité de cyberespionnage chinoise s’est considérablement intensifiée ces dernières années, l’Asie et les États-Unis restant les régions les plus ciblées. Le rapport de cette année note un intérêt particulier pour les organisations gouvernementales ainsi que l’utilisation des mêmes familles de logiciels malveillants par de multiples acteurs du cyberespionnage, probablement en raison du partage des ressources et des outils par des groupes disparates. En outre, avec la mise en œuvre du 14e plan quinquennal de la Chine en 2021, nous nous attendons à voir l’activité de cyberespionnage continuer à s’accélérer pour soutenir la sécurité nationale et les intérêts économiques de la Chine au cours des prochaines années. » - Charles Carmakal, vice-président senior et directeur de la technologie, Mandiant

« Plusieurs tendances des années précédentes se sont poursuivies en 2021. Mandiant a rencontré plus de groupes de menaces que sur n’importe quelle période précédente, pour inclure les groupes nouvellement découverts. Parallèlement, au cours de cette période, nous avons commencé à suivre plus de nouvelles familles de logiciels malveillants que jamais auparavant. Dans l’ensemble, cela témoigne d’un paysage de la menace qui continue d’augmenter en volume et en diversité. Nous constatons également que le gain financier reste la principale motivation des attaquants observés, comme le soulignent les études de cas de cette année sur FIN12 et FIN13. Si nous passons au point de vue des défenseurs, nous constatons plusieurs améliorations malgré un paysage de menaces incroyablement difficile. Par exemple, le présent rapport M-Trends indique le temps d’exposition aux médias le plus faible jamais enregistré. En outre, les régions APAC et EMEA ont enregistré les plus grandes améliorations dans plusieurs catégories de détection des menaces par rapport aux années précédentes. » - Sandra Joyce, Vice-présidente exécutive, Mandiant Intelligence, Mandiant

Méthodologie M-Trends 2022 :

Les mesures présentées dans M-Trends 2022 sont basées sur les investigations de Mandiant sur les activités d’attaques ciblées menées entre le 1er octobre 2020 et le 31 décembre 2021. Les informations recueillies ont été traitées de manière à protéger l’identité des cibles et de leurs données.