1. La banalisation croissante des attaques contre les chaînes d’approvisionnement logicielles pourrait causer une augmentation du nombre de victimes, y compris des organisations importantes

Les attaques perpétrées contre les chaînes d’approvisionnement continueront probablement à présenter de nouvelles opportunités pour les cybercriminels en 2022, car un rapport de Sonatype indique qu’elles avaient déjà augmentée de 650% en 2021.

Selon Michael Heywood : « Nous assisterons à la multiplication des attaques contre les chaînes d’approvisionnement au cours de l’année à venir ; les auteurs de ces menaces recherchent en effet les maillons faibles, ciblant les logiciels utilisés de manière généralisée et à l’échelle mondiale, ou utilisés par une entreprise en particulier ».

Comme l’explique Joanna Burkey, cette approche pourrait donner lieu à la création d’économies d’échelle dont bénéficieront les cybercriminels : « Avec l’attaque de Kaseya – qui a touché plus de 1500 entreprises – nous avons constaté que les attaques contre les chaînes d’approvisionnement peuvent être très rentables. Cela pourrait conduire à la banalisation des tactiques, techniques et procédures (TTP) utilisées pour mener de telles attaques. Cela ne fait qu’attiser l’intérêt des hackers, pour exploiter les failles des chaînes d’approvisionnement logicielles dans les mois à venir ».

Ian Pratt affirme que les PME et des organisations importantes pourraient être ciblées : « Kaseya a ouvert la voie à une monétisation des failles des produits des éditeurs de logiciels indépendants (ISV). Cela devrait être un signal d’alarme pour tous les ISV puisque même si leur clientèle n’est pas constituée d’entreprises et de clients gouvernementaux, ils peuvent toujours se retrouver dans le collimateur de pirates cherchant à profiter de leurs clients. Nous pourrions voir ce type d’attaques, ciblant à la fois les PME et des entreprises de premier plan, se généraliser au cours de l’année à venir. »

Certains secteurs verticaux sont plus à risque, comme l’explique Robert Masse : « Les entreprises du secteur de la santé, ainsi que celles de l’énergie et des matières premières (E&R), qui utilisent un éventail d’équipements et de logiciels provenant de nombreux fournisseurs constituent des cibles de choix pour les attaques des chaînes d’approvisionnement logicielles. L’intégrité de ces chaînes est essentielle, car en 2022, les pirates pourraient lancer des attaques plus rapidement que les entreprises ne peuvent investir dans des cycles de développement de logiciels sécurisés. »

Les entreprises doivent également être conscientes de la menace que suscitent les vulnérabilités des logiciels open source, comme l’explique Patrick Schläpfer : « Nous assisterons à une augmentation du nombre de logiciels open source contenant du code malveillant. Les pirates injecteront de manière proactive de nouvelles menaces dans les bibliothèques open source qui alimentent les chaînes d’approvisionnement logicielles. Cela pourrait conduire à la compromission d’un plus grand nombre d’entreprises, qu’elles disposent d’un périmètre sécurisé ou d’une bonne situation globale. » A titre d’exemple un développeur JavaScript a sabordé des librairies qu’il développait et mettait à la disposition de la communauté open source et qui étaient utilisées dans plusieurs milliers de packages.

2. Les gangs de rançongiciels pourraient mettre des vies en danger et se livrer à des tactiques d’accumulation

Les rançongiciels continuent de présenter un risque majeur, les victimes pouvant être visées plusieurs fois, comme le souligne Joanna Burkey : « Cela s’apparente à des tactiques d’« accumulation sur les réseaux sociaux » ; certaines victimes de rançongiciels étant visées de manière répétée par des acteurs malveillants. Dès lors qu’une entreprise s’est montrée « indulgente », d’autres viendront dans l’espoir d’obtenir leur part du gâteau. Dans certains cas, les auteurs de ces menaces peuvent frapper une entreprise plusieurs fois dans le cadre d’une double, voire d’une triple extorsion. »

Ces méthodes peuvent en outre s’étendre au-delà de la simple victime lorsque les gangs de rançongiciels passent à l’action, commente Alex Holland : « Il est fort probable que les utilisateurs de rançongiciels développent une palette de moyens grâce auxquels ils font pression sur les victimes pour qu’elles accèdent à leurs demandes. Au-delà des sites Internet spécialisés dans les fuites de données, les pirates ont recours à des méthodes d’extorsion de plus en plus diverses et variées, telle que la prospection téléphonique ». Michael Heywood souligne que ces gangs ne se contentent pas de chiffrer les données, ils les volent aussi, accentuant ainsi la pression exercée sur les victimes : « Comme nous l’avons vu en 2021, les auteurs de ces menaces continuent de voler des données avant de les chiffrer, faisant ainsi pression sur les victimes pour qu’elles payent des rançons afin de déchiffrer les données et empêcher leur divulgation ».

Ces gangs pourraient également se concentrer sur des secteurs spécifiques, comme l’a souligné Robert Masse : « Les pirates ont remarqué que frapper certains secteurs augmente la probabilité de paiement. Nous pourrons donc assister à une hausse du nombre d’attaques envers des entreprises du secteur de la santé et de l’énergie et des matières premières. Les auteurs de ces menaces peuvent tout à fait cibler les dispositifs à haut risque, tels que les systèmes médicaux vitaux et leur infrastructure connexe, où le risque de préjudices importants sera le plus élevé et où un paiement interviendra donc plus rapidement. Cela a déjà commencé dans des régions comme le Canada, où des chirurgies ont été retardées en raison d’attaques par rançongiciels ».

La tendance en matière de coopération entre les auteurs de ces menaces se poursuivra également au cours de l’année à venir, comme l’explique Ian Pratt : « Nous avons vu à maintes reprises que les protagonistes sont prêts à coopérer lors d’attaques. Il existe un marché dynamique de la cybercriminalité, qui crée une chaîne logistique criminelle qui permet aux protagonistes les moins avertis d’obtenir les outils et de bénéficier des services nécessaires pour atteindre leur objectif. Des fournisseurs peuvent se spécialiser dans le vol d’informations d’identification, l’exploitation de failles, la rédaction de leurres par courrier électronique ou l’hébergement de services « backend ». Ce qu’il faut retenir, c’est que la disponibilité des outils et de l’expertise permet aux attaques criminelles de se complexifier ».

3. Les micrologiciels, une porte d’entrée grande ouverte aux attaques

Nous pourrons également commencer à voir s’enchaîner les attaques contre les micrologiciels développées par certains États-nations ; elles ouvriront la voie aux gangs de cybercriminels afin de faire de ces menaces de véritables armes, comme l’explique Ian Pratt : « Les micrologiciels offrent un terreau fertile aux pirates qui cherchent à pérenniser leur activité ou à effectuer des attaques destructrices. La sécurité des micrologiciels est fréquemment négligée par les entreprises, et l’on observe un nombre bien plus faible de correctifs disponibles pour y remédier. Au cours de l’année écoulée, nous avons également vu des pirates effectuer de véritables missions de reconnaissance des configurations de micrologiciels, probablement comme prélude à leur exploitation lors d’attaques à venir. Auparavant, ces attaques n’étaient utilisées que par des États-nations. Mais au cours des 12 prochains mois, les TTP ciblant les micrologiciels de PC pourraient se répandre, ouvrant la voie à des groupes de cybercriminalité avertis qui veulent faire de ces menaces de véritables armes, et échafauder des plans afin de monétiser les attaques ».
Le micrologiciel est un des angles morts de la sécurité. Les entreprises n’y consacrent qu’une infime partie de leur budget sécurité consacré davantage aux logiciels et aux mises à jour.

Robert Masse pense qu’un manque de visibilité et de contrôle sur la sécurité des micrologiciels ne fait qu’aggraver le problème : « Certains secteurs où la probabilité d’être la cible de telles attaques devraient commencer à réfléchir aux risques posés par l’armement des logiciels malveillants et des failles au niveau du matériel. Ils sont très difficiles à détecter même dans le meilleur des cas. Les processus malveillants et les contournements de cartographie de mémoire seront des sujets brûlants en 2022, et on peut également s’attendre à voir des acteurs malveillants cibler les processeurs, les BIOS et le microcode, dans le cadre d’une chaîne de frappe révisée, en vue d’attaques par rançongiciels par la suite ».

Les décideurs politiques doivent prendre conscience de cette tendance et imposer des changements, selon Julia Voo : « L’armement des failles au niveau du matériel signifie que les décideurs politiques doivent intervenir pour élaborer des normes pour contribuer à améliorer la sécurité des micrologiciels. En travaillant main dans la main avec ce secteur, selon une approche ascendante, les décideurs politiques peuvent être à l’origine de changements significatifs. Ce domaine a été souvent négligé ».

4. Le travail hybride et les événements sportifs créent de nouvelles opportunités pour les auteurs d’attaques

La distribution des équipes engendré par les nouveaux modes de travail induit que la gestion des identités va continuer à jouer un rôle essentiel, comme le souligne Joanna Burkey : « L’identité doit être fiable, vérifiée et robuste. Les entreprises doivent s’assurer que chaque activité provenant d’un terminal est authentique. Est-ce vraiment l’utilisateur qui mène ces activités ? Est-il réellement celui qu’il prétend être ? Trop souvent les entreprises pensent qu’être protégé par un pare-feu est suffisant pour assurer la sécurité d’un terminal, mais c’est faux. À l’ère du travail hybride, rien ne sera plus important que la gestion des identités ».

Le travail hybride continuera à susciter des problèmes dans le domaine de la sécurité des entreprises, affirme Michael Howard : « Chaque employé reste une cible pour les pirates, le nombre d’appareils non gérés et non sécurisés créant une immense surface à protéger contre les attaques ». Robert Masse pense que cela pourrait permettre aux pirates de s’attaquer plus facilement aux cadres dirigeants : « Les auteurs de ces menaces pourraient commencer à cibler les domiciles et les réseaux personnels des cadres supérieurs, voire des représentants du gouvernement, car ces réseaux sont plus faciles à compromettre que les environnements d’entreprise traditionnels ».

Le phishing restera une menace omniprésente, explique Ian Pratt : « Les employés utilisent des équipements personnels pour le travail ou des équipements d’entreprise pour des tâches personnelles, comme consulter leurs e-mails. Cette tendance va se poursuivre, et il est probable que l’on assiste à une recrudescence des attaques par phishing ciblant à la fois les comptes de messagerie professionnels et personnels. En substance, cela double les chances des pirates de voir leurs attaques aboutir, si bien que les entreprises doivent former leur personnel sur les risques que représente leur comportement, tout en appliquant des contrôles techniques réguliers pour éviter les préjudices ».

Selon Patrick Schläpfer, les événements sportifs de grande envergure offriront également aux pirates de nouvelles opportunités : « Les Jeux Olympiques d’Hiver à Pékin et la Coupe du Monde de Football au Qatar offrent aux hackers de nombreuses possibilités à exploiter. Ces grands événements attirent les pirates opportunistes, qu’il s’agisse d’attaques directes contre les organisateurs, les sponsors, les participants et les fans, ou de leurres de phishing, dans le cadre de campagnes de logiciels malveillants et de rançongiciels ciblant les utilisateurs. Les entreprises et les particuliers doivent être conscients des risques ».

Une nouvelle approche de la sécurité s’avère nécessaire

« L’essor du travail hybride et l’innovation en continu dont font preuve les auteurs de ces menaces signifient que 2022 réserve de nombreuses mauvaises surprises aux entreprises en matière de sécurité », commente Ian Pratt. « Par conséquent, nous devons assurer l’avenir du travail d’une manière totalement nouvelle. Les entreprises doivent adopter une approche architecturale de la sécurité qui permet d’atténuer les risques et d’assurer la résilience. En appliquant les principes du Zero Trust – principe du moindre privilège, isolement, contrôle d’accès obligatoire et gestion stricte des identités –, les entreprises peuvent réduire considérablement leurs angles morts et sécuriser l’avenir de leur entreprise et de leurs collaborateurs ».

HP Wolf Security peut aider les entreprises à se défendre contre la pléthore de nouvelles attaques et les risques auxquels elles seront confrontées en 2022. En associant des fonctionnalités de sécurité et de protection matérielle des logiciels à des services de sécurité des PC et imprimantes, HP Wolf Security offre une protection renforcée et résiliente des équipements, la protection des identités, la confidentialité et intégrité des informations, contribuant ainsi à la protection de l’entreprise dans son ensemble.