Le volume, la nature et l’intensité des cybermenaces visant les entreprises varient dans le temps, ce qui reflète l’évolution des comportements des attaquants, ainsi que l’amélioration des méthodologies de sécurité et le perfectionnement de la veille, entre autres. En comprenant ces tendances, les entreprises peuvent mieux anticiper les attaques et préparer leurs défenses.

La dernière analyse des menaces de la plateforme XDR avancée de Barracuda et de son centre des opérations de sécurité actif 24/7 examine le volume et la gravité des menaces en 2022, et plus particulièrement pendant les mois d’été.

Les données proviennent des clients et des partenaires MSP qui font confiance à Barracuda XDR pour détecter, analyser et répondre aux menaces suspectes ou malveillantes.

Menaces détectées à ce jour en 2022

En janvier 2022, le nombre d’alarmes pour des menaces détectées par la plateforme XDR a atteint un pic de 1,4 million, avant de chuter brutalement d’un peu moins des trois quarts (71,4 %). Ce phénomène s’est reproduit avec un second pic de 1,4 million d’alarmes en juin, suivi d’une baisse similaire, quoique plus progressive, de juillet à août.

Des alarmes jusqu’aux avertissements des clients

La situation est très différente lorsque vous regardez combien de ces alarmes pour menaces ont déclenché une alerte auprès des clients une fois que les experts en menaces de Barracuda ont examiné la situation de plus près.

En janvier, seulement 1,25 % des alarmes pour menaces, soit 1 sur 80 (17 500), étaient suffisamment graves pour justifier une alerte de sécurité auprès des clients. En revanche, si l’on passe rapidement à la période de juin à septembre, ce taux augmente à 1 sur 5 (96 428).

Zoom sur les alertes pour menaces pendant l’été

Sur les 476 994 alarmes analysées par les experts en menaces de Barracuda entre juin et septembre, 96 428, soit 20 %, étaient suffisamment graves pour que les clients soient alertés du danger potentiel et invités à prendre des mesures correctives.

Les trois menaces les plus fréquemment détectées entre juin et septembre sont les suivantes.

1. Connexion réussie à Microsoft 365 depuis un pays suspect – menace classée "à haut risque"

Ce type d’attaque a représenté 40 % de toutes les attaques au cours des 90 jours entre juin et fin septembre. Les pays qui déclenchent une alerte de sécurité automatique sont la Russie, la Chine, l’Iran et le Nigeria. La violation réussie d’un compte Microsoft 365 est particulièrement risquée, car elle offre à un intrus un accès potentiel à toutes les ressources connectées et intégrées que la victime a stockées sur la plateforme. Les analystes recherchent notamment des preuves de connexions multiples à un même compte, par exemple une connexion depuis le Royaume-Uni suivie une heure plus tard d’une connexion depuis la Russie ou la Chine. 5 % seulement de ces alarmes étaient des connexions légitimes considérées comme "faux positifs".

Les menaces "à haut risque" sont des événements exploitables susceptibles de causer de graves dommages à l’environnement du client et qui exigent une action immédiate.

2. Communication vers une adresse IP connue des services de renseignement sur les menaces – "risque moyen"

Ce type d’attaque, qui représente 15 % de toutes les attaques au cours de cette période, inclut toute tentative de communication malveillante d’un appareil au sein du réseau vers un site web ou un serveur de commande et de contrôle connu.

Le "risque moyen" nécessite des mesures d’atténuation mais n’entraîne généralement pas d’impact important en tant qu’événement autonome.

3. Tentatives d’authentification utilisateur par force brute – "risque moyen"

Représentant 10 % de toutes les attaques, il s’agit d’attaques automatisées qui tentent de pénétrer les défenses d’une entreprise en exécutant simplement autant de combinaisons nom/mot de passe que possible.

Que signifient ces données ?

Les cyberattaquants ciblent les entreprises et les équipes de sécurité informatique à des moments où elles sont susceptibles de manquer de ressources. Cela peut être le week-end, la nuit ou pendant une période de vacances, comme l’été.

C’est ce que montrent clairement les données XDR : malgré une réduction globale du volume des menaces, une proportion nettement plus importante des menaces détectées pendant les mois d’été se situent à l’extrémité supérieure de l’échelle des risques.

Il convient de garder ce constat à l’esprit à l’approche d’une nouvelle période de vacances.

Barracuda recommande aux équipes de sécurité informatique de renforcer les mesures de sécurité essentielles :

1. Activer l’authentification multifacteur dans toutes les applications et tous les systèmes
2. è-S’assurer que tous les systèmes cruciaux sont sauvegardés
3. Mettre en place une solution de sécurité robuste incluant la protection des e-mails et la détection et réponse des terminaux (EDR)
4. Garantir la visibilité sur l’intégralité de l’infrastructure informatique
5. Établir un centre des opérations de sécurité fonctionnant 24 heures sur 24, 7 jours sur 7, pour surveiller, détecter et répondre aux cybermenaces, en interne ou par l’intermédiaire d’un prestataire de services de confiance

Ces résultats sont basés sur les données de détection de Barracuda XDR, plateforme étendue de visibilité, de détection et de réponse. Parallèlement, un centre des opérations de sécurité actif 24 heures sur 24, 7 jours sur 7 fournit aux clients des services de détection des menaces, d’analyse, de réponse aux incidents et de correction pilotée par des humains et par l’intelligence artificielle. Barracuda XDR est actuellement disponible pour les MSP.