1. Les techniques des hackers se focalisent sur l’identité et l’authentification multifacteurs

La récente attaque d’Uber n’est qu’un cas parmi d’autres où le système d’authentification multifactorielle (AMF) de la victime a été compromis. Le vol et le détournement d’informations d’identification légitimes sont la cause principale de la grande majorité des cyber incidents. Dans le cas d’Uber, nous avons vu que l’authentification multifactorielle peut être facilement déjouée. Avec l’affaire Okta, nous apprenions que les entreprises d’authentification multifactorielle deviennent elles-mêmes des cibles, potentiellement dans le but de réduire l’efficacité de l’authentification dans d’autres environnements clients.

Considérée autrefois comme une "solution miracle" dans la lutte contre le credential stuffing, il n’a pas fallu longtemps aux pirates pour trouver et exploiter les faiblesses de l’AMF et ils poursuivront dans cette voie en 2023. L’AMF demeurera un élément essentiel de la cyber-hygiène de base, mais elle cessera d’être considérée comme une solution que l’on peut installer et oublier. Les questions relatives à l’accessibilité et à la facilité d’utilisation continuent de dominer le débat sur l’AMF et seront amplifiées par le développement du cloud et du SaaS, parallèlement à la dissolution des réseaux traditionnels sur site.

L’AMF doit être considérée comme un élément d’une architecture Zero Trust plus large, dans laquelle l’analyse comportementale est essentielle pour comprendre le comportement des employés et authentifier les actions réalisées à l’aide de certains identifiants.

2. La multiplication des actes d’hacktivisme de la part d’acteurs non étatiques complexifie les stratégies de cyberattribution et de sécurité

Les “justiciers” du cyberespace ont le vent en poupe. Les récentes attaques lancées par des groupes tels que Killnet, bien que limitées dans leur impact opérationnel, n’ont pas manqué de faire les gros titres à la lumière du conflit russo-ukrainien. Ce phénomène renforce la crainte que des opérations menées par des civils puissent se révéler plus destructrices ou encore que les États se servent de ces groupes comme des intermédiaires.

Pourtant, clamer que la Russie est responsable de ces attaques peut induire en erreur et envenimer une situation politique déjà tendue. Il est difficile d’attribuer les cyberattaques et de déterminer avec précision le rôle joué par un État. En réalité, la frontière entre les actions alignées sur les objectifs d’un État, celles impliquant un État et celles menées par un État est ténue, ce qui accroît le risque de surenchère, de dommages collatéraux et d’erreurs d’attribution.

En 2023, connaître son ennemi dans le cyberespace n’aura jamais été aussi compliqué, mais les entreprises doivent rester conscientes des réalités du cyber-risque et cesser de se focaliser sur les “grands méchants” d’Internet présentés dans des articles sensationnalistes. Les malwares persistants, largement disponibles et peu sophistiqués et les campagnes de phishing ordinaires représentent statistiquement un plus grand risque pour les entreprises que les kits d’exploitation dernier cri ou les ransomwares les plus pernicieux généralement associés aux groupes APT. Comme il est de plus en plus difficile d’identifier l’ennemi, les entreprises devraient se désintéresser des gros titres pour se concentrer sur la stabilité opérationnelle fondée sur une compréhension approfondie de leur propre profil de risque.