Menace cyber : Panorama des tendances observées en 2024
Le paysage de menace cyber est en constante évolution, avec des attaquants qui s’approprient rapidement les nouvelles technologies (comme l’intelligence artificielle), qui exploitent les tensions géopolitiques et qui font preuve d’ingéniosité pour contourner les meilleurs mesures de cybersécurité.
Chez Citalid, nous intégrons des données de renseignement sur la menace cyber à nos modèles de calculs d’impact des risques. Grâce à une équipe d’experts en Cyber Threat Intelligence (CTI), nous offrons à nos clients des insights précieux et actionnables pour connaitre et contextualiser leur risque.
Voici notre panorama de la menace cyber 2024, pour mieux comprendre les tendances de l’année, les acteurs clés, ainsi que les tactiques et stratégies des cyberattaquants en 2024.
L’IA générative, le nouvel outil des acteurs de la menace
L’intelligence artificielle générative (GenAI) est exploitée par tous les types d’acteurs cyberoffensifs comme une composante incontournable de leurs boîtes à outils. L’IA est utilisée à toutes les étapes de la chaîne d’attaque, pour génération de maliciels, création de faux contenus (textes, vidéos, ou audios), de courriels d’hameçonnage, etc. Les acteurs d’origine étatique se sont régulièrement appuyés sur la GenAI pour produire du contenu à des fins d’agitation et de propagande, en particulier dans le contexte des Jeux Olympiques de Paris 2024 et des multiples échéances électorales de l’année écoulée.
L’accessibilité des outils de GenAI favorise sa démocratisation mais également l’émergence d’un phénomène inquiétant : des cyberattaques sophistiquées par des acteurs ayant peu d’expertise technique. Des maliciels bancaires, proposés sous forme d’abonnement, sont par exemple adossés à des fonctionnalités de GenAI qui permettent à leurs utilisateurs de générer des hypertrucages (deepfake) destinés à duper la vigilance de clients bancaires (cf. rapport banque & finance).
Cette évolution témoigne de la rapidité avec laquelle les cybercriminels adoptent les dernières avancées technologiques. Elle souligne égal l’importance d’une vigilance accrue et d’une sensibilisation continue des utilisateurs, car les techniques de cyberattaque évoluent aussi vite que la technologie elle-même.
Des attaques rapides et efficaces
Une des tendances marquantes en 2024 est la baisse significative de la durée moyenne de compromission par les acteurs cyberoffensifs.
Alors qu’entre 2017 et 2019, il fallait en moyenne 21 jours pour déployer un rançongiciel après l’accès initial, ce délai est passé à seulement 6 jours en 2023 selon un rapport de Mandiant. Dans les cas sans exfiltration de données, les attaques peuvent être déployées en moins de 2 jours. Ce gain d’efficacité est le résultat de nouvelles tactiques, de technologies automatisées et de scripts personnalisés, permettant une exploitation plus rapide des systèmes d’information compromis.
Le constat n’est pas seulement valable pour les cybercrimiels : il s’applique également aux acteurs étatiques. La vitesse accrue de ces attaques est ainsi un défi majeur pour les équipes de sécurité, qui doivent alors détecter et contenir les intrusions plus rapidement. En effet, entre l’accès initial et la latéralisation, c’est à dire la propagation au sein du système d’information, le délai moyen a aussi été réduit, passant de 84 à 62 minutes entre 2022 et 2023, selon un rapport de Crowdstrike.
Les entreprises sont ainsi contraintes de mettre en place des capacités de détection plus avancées et des process de réponse à incident réactif et agiles.
Typologie des menaces : un écosystème diversifié d’acteurs
Le paysage de la menace cyber en 2024 est caractérisé par une diversité d’acteurs, incluant des groupes criminels, des hacktivistes, et des modes opératoires d’attaque (MOA) sponsorisées par des États.
Parmi les groupes criminels notoires, LockBit, ALPHV/BlackCat, RansomHub, Play, Akira et Medusa ont été particulièrement actifs cette année, ayant principalement recours à des rançongiciels pour extorquer des fonds aux entreprises. Ces groupes ont perfectionné leurs méthodes en combinant le vol de données et la menace de divulgation publique en cas de non-paiement. Plusieurs d’entre eux ont attiré l’attention des autorités, conduisant à des opérations internationales de démantèlement de leurs activités, comme Lockbit au début de l’année 2024.
Du côté des hacktivistes, des groupes comme NoName057(16) et CyberArmyofRussia_reborn se sont particulièrement distingués dans le cadre du conflit russo-ukrainien.
Enfin, des acteurs étatiques, tels qu’APT29, APT41, APT28 et Lazarus, ont poursuivi leur implication dans des campagnes d’espionnage. Ces acteurs cherchent à collecter des informations sensibles dans les secteurs stratégiques, incluant la finance, la santé et l’administration publique. Il est également possible d’observer l’utilisation de rançongiciels par des acteurs étatiques, soit pour mieux dissimuler leurs véritables intentions, soit pour mener des opérations à finalité lucrative.
Des techniques d’attaque innovantes et diversifiées
En 2024, les cyberattaques révèlent des stratégies diversifiées, permettant aux attaquants de s’adapter et de contourner les mesures de sécurité mises en place par les entreprises.
Parmi les principaux types d’attaque, on retrouve :
- L’extorsion : Les cybercriminels opérant des rançongiciels continuent d’améliorer leurs techniques d’extorsion, cherchant le plus souvent à exfiltrer des données sensibles pour mieux mener de les divulguer, avant de chiffrer le système d’information de la victime.
- La neutralisation : Les attaques par déni de service distribué (DDoS) visent à perturber, voire interrompre, le fonctionnement de leurs cibles, pour des motifs politiques ou idéologiques, voire lucratif quand elles viennent complément de rançongiciels. Ces attaques portent un volet réputationnel pour leurs victimes puisque, bien souvent, les accès clients sont perturbés par le DDoS.
- L’exploitation et le recel : Les informations volées et les accès à des systèmes d’information sont souvent revendus sur des marchés cybercriminels du Dark Web, permettant à d’autres groupes de mener des actions supplémentaires contre les mêmes cibles, dans le cadre d’une véritable chaîne de sous-traitance clandestine.
- L’agitation et la propagande : Les groupes hacktivistes, mais surtout les acteurs étatiques, exploitent les réseaux sociaux pour diffuser des messages politiques ou idéologiques, visant à influencer l’opinion publique et à déstabiliser les institutions. Entre les Jeux Olympiques et l’intense séquence électorale de l’année 2024, les opportunités ont été nombreuses pour les acteurs cherchant à mener des opérations de manipulation de l’information.
Vers une réponse renforcée et collaborative
L’innovation dans les tactiques des acteurs cyberoffensifs et la rapidité de leurs opérations augmentent la complexité de la défense et nécessite une vigilance accrue des organisations. Se préparer à ces menaces, c’est non seulement comprendre le paysage actuel mais aussi investir dans des stratégies de sécurité proactives, adaptées aux types de menaces et d’attaquants en constante évolution. Pour cela, on peut notamment recourir à des solutions de quantification du risque cyber, comme Citalid, afin de maîtriser son exposition au risque cyber.
En surveillant activement les menaces émergentes, les équipes de sécurité peuvent mieux anticiper les techniques, tactiques et procédures des attaquants et réagir rapidement aux incidents.
Les initiatives de partage de renseignements et les partenariats public-privé jouent un rôle important dans l’amélioration de la détection des menaces et la mise en place de mesures de défense. Les entreprises sont aussi encouragées à former leurs employés sur les bonnes pratiques de cybersécurité afin de réduire les risques de compromission.
