![\"Quelles](\"https:\/\/www.stormshield.com\/wp-content\/uploads\/shutterstock-1789749707-1024x688.jpg\" "\\"Contributeur")
<\/p>\n<\/p>\n
Sans surprise, l\u2019ann\u00e9e 2021 a \u00e9t\u00e9 dense en mati\u00e8re de cyber-menaces. L'absence de r\u00e9pit pour le secteur public (sant\u00e9 et collectivit\u00e9s), l'extension des ransomwares \u00e0 des cibles plus importantes (Colonial Pipeline, JBS Food...) ou encore les menaces autour de la confidentialit\u00e9 des donn\u00e9es avec le logiciel espion Pegasus\u00a0: autant d\u2019exemples d'une ann\u00e9e pas comme les autres, avec la vuln\u00e9rabilit\u00e9 Log4Shell au pied du sapin... Alors, \u00e0 quoi s\u2019attendre en mati\u00e8re de menaces cyber en 2022\u00a0? Exercice de prospective, avec nos quatre pr\u00e9dictions cybers\u00e9curit\u00e9 pour l'ann\u00e9e 2022.<\/strong><\/p>\n Si l\u2019ann\u00e9e cybers\u00e9curit\u00e9 2021 devait \u00eatre r\u00e9sum\u00e9e \u00e0 une tendance, ce serait celle d\u2019une structuration du c\u00f4t\u00e9 des cyber-criminels. En parall\u00e8le de l\u2019explosion des cas et des montants, l\u2019\u00e9cosyst\u00e8me des groupes cyber-criminels se consolide en une v\u00e9ritable \u00e9conomie parall\u00e8le, avec un objectif avou\u00e9 d\u2019une am\u00e9lioration de la rentabilit\u00e9 des attaques. Mais elle n\u2019est pas le seul signal fort \u00e0 avoir agit\u00e9 l\u2019ann\u00e9e \u00e9coul\u00e9e. Quelles le\u00e7ons tirer de 2021\u00a0? Quelles menaces pourraient voir le jour en 2022\u00a0? Comme chaque ann\u00e9e, nous nous pr\u00eatons au jeu des pr\u00e9dictions.<\/p>\n <\/p>\n En 2021, les groupes de cyber-criminels ont franchi un cap dans leur structuration. L'\u00e9cosyst\u00e8me des ransomwares repose par exemple sur une pluralit\u00e9 d\u2019acteurs, des d\u00e9veloppeurs aux revendeurs d\u2019acc\u00e8s ou de donn\u00e9es. De v\u00e9ritables plateformes se sont constitu\u00e9es, faisant \u00e9galement appel \u00e0 des affili\u00e9s pour ex\u00e9cuter leurs basses \u0153uvres. La tendance vers le Ransomware as a Service<\/em> (RaaS) s\u2019est ainsi consid\u00e9rablement renforc\u00e9e en 2021. Et cette industrialisation fait r\u00e9agir les experts. \u00ab Les cybercriminels cr\u00e9ent des sortes d\u2019ERP de la cyberattaque avec des plateformes qui g\u00e8rent l\u2019outillage, les clients attaqu\u00e9s, les chats de service clients, le paiement de la ran\u00e7on<\/em>\u2026, s\u2019alarmait ainsi G\u00e9r\u00f4me Billois, partner cybers\u00e9curit\u00e9 et confiance num\u00e9rique chez Wavestone, lors de la derni\u00e8re \u00e9dition des Assises. On est face \u00e0 un \u00e9cosyst\u00e8me qui a su passer \u00e0 l\u2019\u00e9chelle qui permet \u00e0 des cybercriminels lambdas d\u2019attaquer. Ils vont jusqu\u2019\u00e0 cr\u00e9er des sortes de tribunaux arbitraux sur leurs forums en cas de d\u00e9fauts de paiement entre la plateforme et le cybercriminel<\/em>. \u00bb<\/p>\n L\u2019ann\u00e9e 2021 a \u00e9galement \u00e9t\u00e9 marqu\u00e9e par un certain nombre d\u2019op\u00e9rations de police \u00e0 l\u2019encontre de ces groupes de cyber-criminels. Marqu\u00e9es du sceau de la coop\u00e9ration internationale, ces r\u00e9actions \u00e9tatiques \u00e9taient tr\u00e8s rares jusqu\u2019alors. Mais en 2021, deux \u00e9pisodes majeurs sont \u00e0 signaler\u00a0: celui du d\u00e9mant\u00e8lement du Botnet Emotet<\/a> et celui du d\u00e9mant\u00e8lement du groupe de ransomware REvil<\/a>. Un d\u00e9but d\u2019une r\u00e9gulation\u00a0? Difficile \u00e0 dire, tant les op\u00e9rateurs d\u00e9mantel\u00e9s ont tendance \u00e0 se reformer rapidement derri\u00e8re, voire \u00e0 se faire recruter\u2026 Ainsi, entre septembre et novembre 2021, trois nouveaux groupes cyber-criminels \u00e9taient identifi\u00e9s\u00a0: Lockean<\/a>, FamousSparrow et Void Balaur. Coupez une t\u00eate, et trois autres repousseront\u2026<\/p>\n Et du c\u00f4t\u00e9 lumineux de la Force, la tendance de 2021 est toujours \u00e0 une p\u00e9nurie des comp\u00e9tences et des talents. Si 700\u00a0000 postes ont \u00e9t\u00e9 pourvus en plus en 2021, le domaine de la cybers\u00e9curit\u00e9 affiche encore un d\u00e9ficit de 65% en termes de main d\u2019\u0153uvre<\/a> d\u2019apr\u00e8s des chiffres de Microsoft. Rien qu\u2019aux \u00c9tats-Unis, un tiers des emplois li\u00e9s \u00e0 la cybers\u00e9curit\u00e9 resterait vacant.<\/p>\n Vers un march\u00e9 des transferts des cyber-criminels\u00a0?<\/strong> Il est presque d\u00e9j\u00e0 act\u00e9 qu\u2019un ou plusieurs nouveaux groupes de cyber-criminels \u00e9mergeront dans l\u2019ann\u00e9e qui vient. Mais avec cette multiplication chronique des groupes ainsi qu\u2019avec la structuration de ceux-ci, va se poser la m\u00eame question que pour les professionnels de cybers\u00e9curit\u00e9\u00a0: celle du recrutement des talents. Dans le domaine cyber o\u00f9 les talents de hackers sont rares, la concurrence pourrait bien conduire \u00e0 des politiques de recrutement beaucoup plus agressives de la part des groupes de cyber-criminels. Quitte \u00e0 chercher \u00e0 attirer certains du c\u00f4t\u00e9 obscur de la Force\u2026 \u00c0 l\u2019instar de l\u2019\u00e9conomie du sport, des agents pourraient demain appara\u00eetre, pla\u00e7ant leurs poulains aupr\u00e8s des groupes les plus offrants. Des agents qui n\u2019h\u00e9siteraient pas \u00e0 adopter de nouvelles m\u00e9thodes, comme des primes \u00e0 la signature ou des \u00ab\u00a0pr\u00eats \u00bb entre groupes.<\/p>\n <\/p>\n C\u00f4t\u00e9 menaces, les attaques de ransomwares, qui ont augment\u00e9 de 62%<\/a>, ont largement occup\u00e9 le champ m\u00e9diatique en 2021. Mais d\u2019autres proc\u00e9d\u00e9s se sont \u00e9galement d\u00e9velopp\u00e9s et parmi eux, l\u2019attaque de la cha\u00eene logistique (ou supply chain attack<\/em>). Exemple phare de l\u2019ann\u00e9e, l\u2019entreprise Codecov<\/a>, qui \u00e9dite un logiciel d\u2019audit de code source, faisait ainsi \u00e9tat d\u2019une cyberattaque en avril 2021. En compromettant son logiciel, les cyber-criminels auraient r\u00e9ussi \u00e0 corrompre des centaines de r\u00e9seaux clients<\/a>.<\/p>\n Autre type d\u2019attaque qui \u00e9volue vers encore plus de subtilit\u00e9, avec le logiciel d\u2019espionnage. En juillet 2021, \u00e9tait r\u00e9v\u00e9l\u00e9 le fracassant \u00ab Projet Pegasus \u00bb, un syst\u00e8me mondial d\u2019espionnage de smartphones de journalistes, avocats, militants et responsables politiques. En tout, plus de 50 000 num\u00e9ros de t\u00e9l\u00e9phones de cibles potentielles ont \u00e9t\u00e9 identifi\u00e9s<\/a> par Amnesty International et le consortium d'investigation Forbidden Stories.<\/p>\n Et une nouvelle vuln\u00e9rabilit\u00e9 a fait la Une des m\u00e9dias en 2021. Li\u00e9e \u00e0 la biblioth\u00e8que open source Log4j, et baptis\u00e9e Log4Shell<\/a>, cette vuln\u00e9rabilit\u00e9 Zero Day<\/em> a provoqu\u00e9 un vent de panique. En d\u00e9cembre 2021, le gouvernement qu\u00e9b\u00e9cois fermait ainsi pr\u00e9ventivement 4 000 sites gouvernementaux afin de s\u2019assurer qu\u2019ils n\u2019\u00e9taient pas vuln\u00e9rables. Le m\u00eame mois, les \u00e9quipes de cybers\u00e9curit\u00e9 de Microsoft annon\u00e7aient que des attaques au ran\u00e7ongiciel visaient des serveurs Minecraft<\/em><\/a> h\u00e9berg\u00e9s par les utilisateurs du c\u00e9l\u00e8bre jeu vid\u00e9o. Un modus operandi<\/em> qui met en lumi\u00e8re la fragilit\u00e9 des applications, qui reposent pour beaucoup sur des briques de code pr\u00e9existantes, pas forc\u00e9ment tr\u00e8s robustes et qui n\u2019ont que rarement \u00e9t\u00e9 \u00e9valu\u00e9es avant d\u2019\u00eatre utilis\u00e9es...<\/p>\n Vers une explosion de failles Zero Day<\/em> cach\u00e9es dans des biblioth\u00e8ques open source\u00a0? <\/strong>La puissance de l\u2019attaque Log4Shell pourrait (malheureusement) inspirer demain plus d\u2019un groupe de cyber-criminels. En effet, le fonctionnement m\u00eame du syst\u00e8me des logiciels libres implique que des pans entiers du Web soient maintenus par une poign\u00e9e de b\u00e9n\u00e9voles. Si demain, les grandes entreprises n\u2019investissent pas dans les projets open source qu\u2019elles utilisent, les patchs correctifs ne sauraient suivre la vitesse de d\u00e9couverte des failles critiques. Et les cyber-criminels pourraient alors s\u2019attaquer ais\u00e9ment \u00e0 des infrastructures, r\u00e9seaux ou donn\u00e9es particuli\u00e8rement sensibles. Par exemple, en France, \u00e0 celles contenues dans l\u2019application TousAntiCovid. En identifiant une faille dans les \u00e9l\u00e9ments de code publi\u00e9s, l\u2019application la plus t\u00e9l\u00e9charg\u00e9e<\/a> en 2021 pourrait ainsi se voir ouverte aux quatre vents num\u00e9riques, laissant aux cyber-criminels la possibilit\u00e9 d\u2019acc\u00e9der \u00e0 une quantit\u00e9 \u00e9norme de donn\u00e9es de sant\u00e9 et de passes sanitaires. En pleine \u00e9lection pr\u00e9sidentielle, l\u2019impact politique d\u2019une telle cyberattaque n\u2019est pas \u00e0 n\u00e9gliger.<\/p>\n <\/p>\n Colonial Pipeline, JBS Foods<\/a>, Log4Shell\u00a0: toutes ces cyberattaques ont fait la Une des journaux en 2021. Vous ne voyez pas le lien entre celles-ci\u00a0? Ne cherchez pas du c\u00f4t\u00e9 de la cyber, leur seul point commun \u00e9tant l\u2019emballement m\u00e9diatique qu\u2019elles ont suscit\u00e9. Un ph\u00e9nom\u00e8ne de loupe m\u00e9diatique qui peut conduire \u00e0 un faux sentiment de s\u00e9curit\u00e9 pour les TPE et PME. Pourtant, d\u2019apr\u00e8s une \u00e9tude internationale de Forrester Consulting publi\u00e9e en janvier 2021, la part de TPE\/PME de moins de 250 salari\u00e9s touch\u00e9es par les cyberattaques s\u2019\u00e9l\u00e8ve \u00e0 33%. La focale m\u00e9diatique est donc s\u00e9lective\u00a0: qui a entendu parler de cyberattaques contre le cabinet d\u2019avocat, les experts comptables ou encore le plombier du coin\u00a0? Et la taille n\u2019importe que peu, tant des entreprises plus importantes passent \u00e9galement sous le radar m\u00e9diatique. En f\u00e9vrier 2021, le fabricant de bateau B\u00e9n\u00e9teau a par exemple \u00e9t\u00e9 frapp\u00e9 par une cyberattaque de grande ampleur<\/a> sans \u00e9mouvoir les foules, malgr\u00e9 les 3 900 salari\u00e9s touch\u00e9s. Une autre cons\u00e9quence potentielle de l\u2019effet de loupe m\u00e9diatique est \u00e9galement \u00e0 souligner\u00a0: un emballement m\u00e9diatique de grande ampleur peut conduire \u00e0 d\u00e9signer une cible aux groupes de cyber-criminels toujours enclins \u00e0 trouver de nouvelles victimes peu ou mal s\u00e9curis\u00e9es.<\/p>\n Autre signal (pas si faible) en f\u00e9vrier 2021, quand l'\u00e9diteur de jeux vid\u00e9o CD Projekt a \u00e9t\u00e9 victime d'un ransomware<\/a>, juste avant la sortie d'un nouveau jeu... sur l'univers cyberpunk. Un clin d\u2019\u0153il et, surtout, un nouvel \u00e9pisode apr\u00e8s Capcom et Electronic Arts, victimes les ann\u00e9es pass\u00e9es. Car les grands \u00e9diteurs et studios de jeux vid\u00e9o sont d\u00e9j\u00e0 des cibles de choix pour les cyber-criminels. Mais si \u00e0 ce jour, les cons\u00e9quences \u00e9taient surtout r\u00e9putationnelles, la donne pourrait (vite) changer.<\/p>\n En effet, fin octobre 2021, Facebook annon\u00e7ait en grandes pompes le lancement des univers virtuels, comme prochain vague de l'internet et suite logique des jeux vid\u00e9o en ligne. Et l'emballement rapide\u00a0: des achats de terrains<\/a> d\u2019une grande valeur, sup\u00e9rieure \u00e0 un million de dollars, ont m\u00eame d\u00e9j\u00e0 \u00e9t\u00e9 effectu\u00e9s au sein de cet univers virtuel.<\/p>\n \u00ab\u00a0Police du m\u00e9tavers, NFT s\u2019il-vous-pla\u00eet<\/em>\u00a0\u00bb<\/strong>. Popularit\u00e9, focus m\u00e9diatique et montants cons\u00e9quents\u00a0; ces mondes virtuels pourraient bien devenir le nouveau terrain de jeu privil\u00e9gi\u00e9 des cyber-criminels. Et leur motivation premi\u00e8re resterait \u00e9videmment l\u2019argent. Du ran\u00e7onnage d\u2019artefacts num\u00e9riques achet\u00e9s pour des sommes exorbitantes au vol de NFT, les possibilit\u00e9s d\u00e9lictuelles sont multiples. Les \u00e9diteurs de mondes virtuels ou de jeux en ligne pourraient rapidement se voir d\u00e9passer par les vagues de cyberattaques nuisant au d\u00e9veloppement de leurs produits. Une police du m\u00e9tavers, fond\u00e9e sur des outils d\u2019investigation propres, deviendrait alors n\u00e9cessaire. Elle rassemblerait des experts du monde entier dont l\u2019objectif serait de traquer les cyber-criminels dans les recoins les plus recul\u00e9s des m\u00e9tavers. Une gageure, tant les transactions au sein de ses espaces vont massivement s\u2019accro\u00eetre au cours de l\u2019ann\u00e9e.<\/p>\n <\/p>\n En 2021, l\u2019humain reste la principale porte d\u2019entr\u00e9e dans le r\u00e9seau d\u2019une entreprise. Selon une \u00e9tude IDG<\/a>, 44% des grandes entreprises (500 \u00e0 999 employ\u00e9s) ont subi cette ann\u00e9e des interruptions de r\u00e9seau de plus d'un jour en raison d'attaques de phishing, contre 14% pour les petites entreprises (25 \u00e0 100 employ\u00e9s). Et les derniers chiffres disponibles<\/a> indiquent qu\u2019en 2021, 22% des violations de donn\u00e9es signal\u00e9es ont commenc\u00e9 par un e-mail de phishing.<\/p>\n Par ailleurs, avec un quart des salari\u00e9s fran\u00e7ais<\/a> en t\u00e9l\u00e9travail au moins un jour par semaine en 2021, la question de l\u2019accessibilit\u00e9 des solutions de cybers\u00e9curit\u00e9 appara\u00eet encore plus essentielle\u00a0: les collaborateurs utilisent en effet leurs appareils professionnels \u00e0 des fins personnelles, multipliant ainsi les portes d\u2019entr\u00e9es potentielles.<\/p>\n Et la sensibilisation \u00e0 l\u2019hygi\u00e8ne num\u00e9rique et \u00e0 la cybers\u00e9curit\u00e9 est encore un long chemin de croix. D\u2019apr\u00e8s le rapport 2021<\/a> de la soci\u00e9t\u00e9 am\u00e9ricaine KnowBe4, un quart des employ\u00e9s pensent que cliquer sur des liens ou des pi\u00e8ces-jointes suspectes comporte peu ou pas de risque. \u00c0 se taper la t\u00eate contre un mur\u2026<\/p>\nVers une hyper professionnalisation des cyber-criminels ?<\/h2>\n
Les signaux (pas si faibles) de 2021<\/h3>\n
Le sc\u00e9nario 2022<\/h3>\n
Vers des cyberattaques encore plus sophistiqu\u00e9es ?<\/h2>\n
Les signaux (pas si faibles) de 2021<\/h3>\n
Le sc\u00e9nario 2022<\/h3>\n
Vers la fin d\u2019un effet de loupe m\u00e9diatique ?<\/h2>\n
Les signaux (pas si faibles) de 2021<\/h3>\n
Le sc\u00e9nario 2022<\/h3>\n
Vers une cybers\u00e9curit\u00e9 pour tous ?<\/h2>\n
Les signaux (pas si faibles) de 2021<\/h3>\n
Le sc\u00e9nario 2022<\/h3>\n