L’exploitation de la vulnérabilité, y compris les attaques sur les périphériques de bord du réseau, a dépassé le phishing pour devenir un facteur clé dans de nombreuses violations de sécurité, selon le DBIR de Verizon.
L’implication des tiers dans les violations et l’exploitation des vulnérabilités sont devenues des facteurs plus importants dans les violations de sécurité, selon la dernière édition du rapport d’enquête sur les violations de données de Verizon (DBIR).
Une analyse de 22 000 incidents de sécurité, dont 12 195 violations de données confirmées dans 139 pays, a révélé que les abus d’identification (22%) et l’exploitation des vulnérabilités (20%, contre 14,9% en 2024) étaient les deux vecteurs d’attaque initiaux les plus répandus.
« Pour la première fois, l’exploitation de la vulnérabilité a dépassé le phishing – et rattrape les abus d’identification – en tant que vecteur d’accès initial supérieur », a noté Chris Wysopal, évangéliste en chef de la sécurité et co-fondateur de la société de sécurité des applications Veracode.
Sécurité sur le bord
Les dispositifs Edge et les VPN représentent désormais 22% des objectifs d’exploitation de vulnérabilité, contre seulement 3% en 2024. Parmi ce mélange, les exploits zéro jour ciblant les dispositifs de périmètre et les VPN sont devenus plus répandus.
Tenable Research a analysé 17 CVE de périphérique Edge figurant dans le DBIR, qui a ajouté à la liste des vulnérabilités de la cybersécurité et de l’infrastructure aux États-Unis (CISA), la liste des vulnérabilités a exploitée l’année dernière, pour comprendre les temps de rénumération.
L’étude de Verizon a révélé que le temps médian pour les organisations pour corriger pleinement les vulnérabilités des appareils Edge était de 32 jours. Les temps de fixation des défauts en général ont fortement augmenté au cours des cinq dernières années, alors que les entreprises se noient de plus en plus dans la dette de sécurité à haut risque. Mais pour les dispositifs de sécurité Edge, l’urgence à remédier est primordiale.
«Les organisations doivent tirer parti d’une approche basée sur les risques et hiérarchiser la numérisation et les correctifs de la vulnérabilité pour les systèmes orientés Internet», a écrit Saeed Abbasi, responsable de la recherche sur les menaces chez Cloud Security Company, dans un article de blog. «Les données montrent clairement que les attaquants suivent le chemin de la moindre résistance, ciblant les dispositifs de bord vulnérables qui fournissent un accès direct aux réseaux internes.»
Greg Linares, analyste principal des renseignements sur les menaces de la Huntresse de la détection et de la réponse, a déclaré: «Nous constatons un changement distinct dans la façon dont les attaquants modernes enfreignent les environnements d’entreprise, et l’une des tendances les plus cohérentes en ce moment est l’exploitation des appareils Edge.»
Les appareils Edge, allant des pare-feu et des appareils VPN aux équilibreurs de chargement et des passerelles IoT, servent de passerelle entre les réseaux internes et l’Internet plus large.
« Parce qu’ils opèrent à cette frontière critique, ils détiennent souvent des privilèges élevés et ont une large visibilité dans les systèmes internes », a noté Linares, ajoutant que les dispositifs de bord sont souvent mal entretenus et non intégrés dans des cycles de correction standard.
Linares a expliqué: «De nombreux appareils Edge sont livrés avec des informations d’identification par défaut, des ports de gestion exposés, des comptes de superutilisateurs secrets ou des services faiblement configurés qui s’appuient toujours sur des protocoles hérités – ce sont toutes des conditions qui invitent l’intrusion.»
Une fois compromis, les dispositifs de bord offrent aux attaquants un accès privilégié, de la persistance et un terrain de mise en scène propre pour le mouvement latéral. Ces systèmes stockent souvent des références administratrices, des jetons de session, des clés VPN ou des journaux qui fournissent une feuille de route détaillée de l’infrastructure interne.
«Les attaquants peuvent implanter des logiciels malveillants personnalisés ou même modifier le firmware lui-même pour survivre à travers les redémarrages et échapper à la détection», a conclu Linares. «Parce que ces appareils tombent généralement en dehors de la portée des solutions de détection et de réponse (EDR) (EDR) et l’intégration SIEM, les intrusions passent souvent inaperçues pendant des semaines, des mois ou plus.»
Les groupes d’espionnage tels que Volt Typhoon et UNC4841 ont mis à profit les vulnérabilités dans les appareils de Fortinet, Sonicwall et Barracuda pour infiltrer tranquillement les réseaux de grande valeur au cours de la dernière année. Des groupes de ransomwares tels que Black Basta et Royal utilisent fréquemment des appareils NAS compromis et des pare-feu pour s’introduire dans des réseaux ciblés.
Les démons ransomwares ciblent les petites entreprises
Le pourcentage de violations impliquant des tiers a doublé à 30%, mettant en évidence les risques associés à la chaîne d’approvisionnement et aux écosystèmes partenaires.
La prévalence des attaques de ransomwares a également augmenté, augmentant en facteur dans 44% des violations analysées (contre 37% en 2024). Les ransomwares ont eu un impact disproportionné sur les petites et moyennes entreprises (PME).
Alors que les grandes organisations éprouvent des ransomwares dans 39% des violations, les PME ont été confrontées à des ransomwares dans 88% des incidents de violation.
Symptomatique de la tendance des acteurs de ransomwares à s’attaquer à des cibles plus petites, il y a eu une baisse notable du montant médian de la rançon payée, qui est passée de 150 000 $ en 2024 à 115 000 $ dans le rapport de cette année.
Le nombre d’organisations victimes qui n’a pas payé de rançon était de 64%, contre 50% qui a refusé le paiement il y a deux ans.
Le facteur humain
L’implication humaine dans les violations de cybersécurité est restée à peu près la même que dans le DBIR de Verizon en 2024 – un facteur de 60% des attaques réussies. La figure illustre l’importance continue des attaques d’ingénierie sociale telles que les abus de phishing et d’identification (mot de passe et de connexion). À cette fin, les cybercriminels changent de tactique pour rendre le phishing plus efficace et s’appuyer davantage sur les logiciels malveillants infostateurs pour capturer les informations d’identification.
L’IA joue également un plus grand rôle dans les cyberattaques et les risques de fuite de données. Selon Verizon, le texte généré par synthèse dans les e-mails malveillants a doublé au cours des deux dernières années.
Pendant ce temps, 15% des employés accédaient régulièrement
dispositifs d’entreprise, augmentant le potentiel de fuites de données, que les CISO ont du mal à contenir.
Jeux d’espionnage
Verizon estime que les attaques motivées par l’espionnage représentent 17% des violations de sécurité, presque triplées dans la prévalence depuis 2024.
Les secteurs de la fabrication et des soins de santé ont été confrontés à une augmentation des attaques motivées par l’espionnage.
Le rapport de défense numérique de Microsoft en novembre 2024 a également noté une tendance à la hausse qui voit les lignes se brouiller entre le cyberespionnage et l’activité cybercriminale.
Contre-mesures
Comme toujours, la défense contre les attaques potentielles repose sur le développement d’une stratégie de défense multicouche.
«Les entreprises doivent investir dans des mesures de sécurité robustes, y compris des politiques de mot de passe solides, des correctifs en temps opportun des vulnérabilités et une formation complète de sensibilisation à la sécurité pour les employés», a déclaré Chris Novak, vice-président des solutions mondiales de cybersécurité chez Verizon Business.
