Laëtitia Berché

Paris, le 21 juin 2021 – Selon une étude mondiale réalisée à la demande de Versa Networks, le confinement imposé par la pandémie a fait grimper en flèche l’adoption du SASE (Secure Access Service Edge) par les entreprises. 34 % d’entre elles disent avoir déployé la technologie SASE l’année dernière, et 30 % prévoient de le faire au cours des six à douze prochains mois. Cependant, malgré cette adoption rapide de la technologie SASE, la majorité (69 %) des professionnels de l’informatique et de la sécurité ne savent toujours pas ce qu’elle signifie vraiment.

Menée par Sapio Research auprès de 500 décideurs en sécurité et en informatique travaillant au sein de grandes et moyennes entreprises aux États-Unis, au Royaume-Uni, en France et en Allemagne, l’étude révèle que 84 % des entreprises ont accéléré leur transformation numérique et leur migration vers le Cloud durant la pandémie. Près de la moitié (44 %) pensent en outre que leurs employés poursuivront le télétravail, à temps plein ou partiel, après la levée des restrictions liées à la pandémie.

Les enseignements tirés de la pandémie ont favorisé l’adoption du SASE, une technologie conçue pour offrir une sécurité transparente, ainsi qu’une connectivité fiable et performante, sur les réseaux Cloud, hybrides et locaux. Les résultats de l’enquête montrent que les équipes chargées de l’informatique et de la sécurité ont reçu de nombreuses doléances de la part des employés. Plus d’un tiers (36 %) d’entre eux se sont plaints de pertes de connexion lors de l’utilisation d’applications gourmandes en bande passante telles que la vidéoconférence, et d’autres ont souffert du manque d’assistance technique en temps réel (31 %). Une multitude de problèmes de sécurité se sont posés, notamment l’incapacité à appliquer des politiques de sécurité à l’ensemble des télétravailleurs (37 %) ou à détecter les nouvelles menaces qui pèsent sur les utilisateurs (34 %).

Pour pallier l’inefficacité des politiques de sécurité et la connectivité défaillante, les entreprises se tournent vers le SASE, près de 9 sur 10 (soit 87 %) ayant revu leur stratégie de connectivité à distance depuis un an. Parmi les méthodes de connexion privilégiées, le SASE devance les VPN, 34 % des entreprises ayant déployé la technologie SASE, et 23 % des VPN.

Cependant, malgré sa popularité, le SASE reste mal compris par la majorité des professionnels de l’informatique et de la sécurité. À peine 31 % des personnes interrogées ont reconnu la bonne définition du SASE, à savoir « la convergence des services de réseau et de sécurité (CASB, FWaaS, Zero Trust, etc.) en un seul modèle de services Cloud natifs ». Malgré cette confusion, le principal motif d’adoption du SASE est clair : améliorer la sécurité des appareils et des applications utilisés par les télétravailleurs, selon 43 % des personnes interrogées. Arrivent ensuite la volonté de donner la priorité aux performances et à la fourniture d’applications stratégiques dans le Cloud (31 %) et la nécessité de prendre en charge davantage de télétravailleurs (31 %).

• Lorsqu’elles adoptent le SASE, neuf entreprises sur dix placent la sécurité avant la visibilité et le contrôle, la bande passante et la connectivité, ou l’expérience des utilisateurs.
• Si la sécurité constitue le principal critère d’adoption du SASE, trois entreprises sur cinq estiment que la responsabilité de sa mise en œuvre incombe à l’équipe informatique.
• Le département informatique est le plus susceptible de déplorer le manque de fiabilité de la connectivité, loin devant tous les autres services (49 %).
• Selon 36 % des personnes interrogées, les applications de vidéoconférence et de collaboration sont celles qui ont posé le plus de difficultés en termes de prévisibilité des performances et de fiabilité.

D’après Michael Wood, directeur du marketing chez Versa Networks : « L’enquête donne une image claire des pressions et des défis auxquels les équipes chargées de l’informatique et de la sécurité ont dû faire face durant la pandémie. Si l’enquête montre qu’il reste encore du chemin à parcourir avant que les professionnels de l’informatique et de la sécurité ne comprennent la véritable signification du SASE, la nécessité de résoudre les problèmes de sécurité et de connectivité à distance a conduit les entreprises à délaisser les anciennes technologies VPN, criblées de failles de sécurité, au profit du SASE, un modèle qui leur permet de mieux appréhender l’avenir. Si le SASE s’est révélé très utile pendant le confinement, il constituera également un atout majeur lors du retour au bureau des employés et du passage à un mode de travail hybride. »

“L’organisation mondiale du travail a été bouleversée. Les entreprises qui ont été prises au dépourvu par le télétravail au début du confinement investissent désormais dans des solutions à long terme permettant de travailler à distance de manière performante et sécurisée. Doté d’un haut niveau de flexibilité et d’évolutivité, le modèle SASE est idéal pour répondre à ce besoin. En France, nous avons une demande croissante des services SASE (RFx) dopé par le besoin de déployer SDWAN” complète Hector Avalos, responsable EMEA chez Versa Networks.

L’enquête mondiale a été menée auprès de 501 décideurs en matière de sécurité informatique et de réseaux informatiques aux États-Unis, au Royaume-Uni, en Allemagne et en France. Les entretiens ont été réalisés en ligne par le cabinet Sapio Research en mai 2021 via un e-mail d’invitation et une enquête en ligne.

• En 2020, le nombre de violations de données est passé de 4,5 à 7 par jour en un an et demi
• Hausse de plus de 19% du nombre de personnes touchées par une fuite de données, passant à plus d’1 million au premier semestre
• Le top 5 des secteurs d’activité les plus touchés par la fuite de données : Administration publique ; Activités scientifiques & techniques ; Finances & Assurances ; Santé ; Information & Communication
• Les fuites de données pour raison accidentelle ont augmenté de 7%. L’erreur humaine est une des principales causes.
• Les actes de malveillance restent la première cause des violations de données mais sont en léger recul (-2%)
• Le nombre d’interventions de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) à la suite d’attaques en rançongiciels a progressé de 92%

• Le retour d’expérience de la Région Grand Est sur une cyberattaque par rançongiciel : impacts et clés pour s’en prémunir
• Un bilan à 3 ans du Règlement Général sur la Protection des Données (RGPD)
• Un panorama de la législation de la protection des données dans le monde et la maturité des différents états dans la lutte contre la cybercriminalité

« Un bon niveau de prévention nécessite la coopération de plusieurs fonctions de l’entreprise et une prise de conscience des risques face à une cybercriminalité qui s’est fortement professionnalisée et structurée », commente Sandrine Cullaffroz-Jover, Associée en charge du droit des activités numériques chez PwC Société d’Avocats.

La résilience organisationnelle est donc devenue un outil de pilotage clé pour lutter contre la cybercriminalité et limiter ses impacts à court, moyen et long terme. À ce titre, la valorisation financière des vulnérabilités de chaque organisation doit représenter un avantage compétitif d’autant plus qu’elles sont assurables. Christophe Madec, expert Cyber, Bessé, conclut : « Les risques liés à une compromission de données et en particulier les fuites de données personnelles rentrent dans le champ des polices d’assurance Cyber ».

Paris, le 24 juin 2021 – WatchGuard® Technologies, leader mondial dans le domaine de la sécurité et l’intelligence réseau, de l’authentification multifacteur (MFA), de la protection avancée des endpoints et du Wi-Fi sécurisé, publie aujourd’hui son rapport sur la sécurité Internet pour le 1er trimestre 2021. D’après les principales conclusions de l’étude, 74 % des menaces détectées au dernier trimestre étaient des malwares de type Zero-Day, autrement dit des menaces qui, au moment de leur diffusion, n’ont pas été identifiées par les solutions antivirus classiques basées sur la signature et ont donc pu les contourner.

Le rapport se penche également sur l’augmentation du nombre d’attaques réseau, la manière dont les cybercriminels tentent de maquiller et de recycler d’anciens exploits, les principales attaques de malwares au dernier trimestre, etc.

Corey Nachreiner, directeur de la sécurité chez WatchGuard explique : « Au dernier trimestre, les détections de malwares de type Zero-Day ont atteint un niveau sans précédent. Les malwares évasifs ont en fait éclipsé les menaces traditionnelles. Un signe de plus que les entreprises ont tout intérêt à faire évoluer leurs défenses si elles veulent garder une longueur d’avance sur des cybercriminels aux méthodes de plus en plus sophistiquées. Les solutions anti-malware traditionnelles ne font pas le poids face aux menaces actuelles. Chaque entreprise a besoin d’une stratégie de sécurité proactive et multiniveau s’appuyant sur l’apprentissage automatique et l’analyse comportementale pour détecter et bloquer les menaces nouvelles et avancées ».   

• Une variante de malware sans fichier gagne en popularité : JSLoader est une charge utile malveillante qui fait pour la première fois son apparition dans le classement WatchGuard des malwares les plus importants en termes de volume et dans celui des malwares les plus répandus. C’est aussi la variante la plus souvent détectée par WatchGuard via l’inspection HTTPS au 1er trimestre. L’échantillon identifié par WatchGuard utilise une attaque XXE (XML External Entity) pour ouvrir un shell et exécuter des commandes afin de contourner la politique d’exécution locale de PowerShell. L’attaque s’exécute de manière non interactive, à l’insu de l’utilisateur ou de la victime. Il s’agit d’un autre exemple de la prévalence croissante des malwares sans fichier, qui confirme la nécessité de mettre en place des fonctions avancées de détection et de réponse aux menaces sur les endpoints.

• Une simple astuce au niveau du nom de fichier permet aux pirates de faire passer un chargeur de ransomware pour un PDF légitime en pièce jointe : le chargeur de ransomware Zmutzy se classe parmi les deux principales variantes de malwares chiffrés en termes de volume au 1er trimestre. Associée au ransomware Nibiru, cette menace se propage par le biais d’un fichier zippé joint à un e-mail ou d’un téléchargement depuis un site Web malveillant. L’exécution du fichier zip télécharge un exécutable qui se présente comme un PDF tout à fait légitime aux yeux de la victime. Les attaquants ont remplacé le point par une virgule dans le nom de fichier et ont modifié manuellement l’icône pour faire passer le fichier zip malveillant pour un PDF. Ce type d’attaque montre à quel point il est important de sensibiliser et de former les utilisateurs au phishing, mais aussi de mettre en œuvre des solutions de sauvegarde pour le cas où une variante telle que celle-ci provoquerait une infection par ransomware.

• Les cybercriminels poursuivent leurs attaques contre les appareils IoT : bien qu’elle ne figure pas dans la liste WatchGuard des 10 principaux malwares au 1er trimestre, la variante Linux.Ngioweb.B a récemment été utilisée par des cybercriminels pour cibler les appareils IoT. La première version de cette menace visait les serveurs Linux exécutant WordPress et se présentait initialement sous forme de fichier EFL (Extended Format Language). Une autre version de ce malware transforme les appareils IoT en botnet avec des serveurs de commande et de contrôle tournants.

• Les attaques réseau bondissent de plus de 20 % : les appliances WatchGuard ont détecté plus de 4 millions d’attaques réseau, soit une progression de 21 % par rapport au trimestre précédent et le volume le plus élevé depuis le début de l’année 2018. Malgré le passage au travail à distance et hybride, les serveurs et les actifs d’entreprise sur site restent des cibles de grande valeur pour les cybercriminels. Les entreprises doivent par conséquent maintenir la sécurité du périmètre parallèlement aux protections axées sur l’utilisateur.

• Une ancienne technique d’attaque par traversée de répertoire fait son retour : au 1er trimestre, WatchGuard a identifié une nouvelle signature de menace liée à une attaque par traversée de répertoire via des fichiers CAB (cabinet), un format d’archivage Microsoft avec compression des données sans perte et certificats numériques intégrés. Cet exploit vient s’ajouter au palmarès WatchGuard des 10 principales attaques réseau. Il incite les utilisateurs à ouvrir un fichier CAB malveillant au moyen de techniques classiques ou en usurpant une imprimante connectée au réseau pour les inviter à installer un pilote d’imprimante via un fichier CAB compromis.

• Les menaces Zero-Day HAFNIUM fournissent des renseignements sur les tactiques de menace et les meilleures pratiques de réponse : le trimestre dernier, Microsoft a signalé l’exploitation de quatre vulnérabilités HAFNIUM dans diverses versions d’Exchange Server. Le but des pirates : l’exécution complète et non authentifiée de code à distance et un accès arbitraire en écriture aux fichiers sur tout serveur dépourvu de correctifs exposé à Internet, ce qui est le cas de la plupart des serveurs de messagerie. L’analyse des incidents réalisée par WatchGuard examine en détail les vulnérabilités et souligne l’importance de l’inspection HTTPS, de l’application rapide de correctifs et du remplacement des anciens systèmes.

• Les cybercriminels détournent des domaines légitimes lors de campagnes de cryptominage : au 1er trimestre, le service DNSWatch de WatchGuard a bloqué plusieurs domaines compromis et malveillants associés à des menaces de cryptominage. Les malwares de cryptominage sont de plus en plus populaires en raison de la récente flambée des prix sur le marché des cryptomonnaies et de la facilité avec laquelle les cybercriminels peuvent siphonner les ressources de victimes peu méfiantes.

Paris – 14 avril 2021 – Check Point Research (CPR), la branche de renseignement sur les menaces de Check Point® Software Technologies Ltd. (NASDAQ: CHKP), l’un des principaux fournisseurs de solutions de cybersécurité dans le monde a publié son Classement de menace globale de mars 2021. Les chercheurs signalent que le Trojan IcedID est entré dans le classement pour la première fois, prenant la deuxième place, tandis que Dridex, lui bien établi, est le malware le plus répandu en mars, alors qu’il se situait a la septième place en février.

Apparu pour la première fois en 2017, IcedID s’est propagé rapidement en mars via plusieurs campagnes de spam, touchant 11 % des entreprises dans le monde. Une campagne de grande ampleur s’est servi d’un sujet lié à la COVID-19 pour inciter les nouvelles victimes à ouvrir des pièces jointes malveillantes. La majorité de ces pièces jointes étaient des documents Microsoft Word contenant une macro malveillante pour insérer un programme d’installation d’IcedID. Une fois installé, le Trojan tente de voler des informations sur les comptes, des informations de paiement et d’autres informations sensibles sur les PC des utilisateurs. IcedID utilise également d’autres malwares pour se propager et est exploité comme étape initiale de l’infection dans des opérations de ransomware.

« IcedID existe depuis quelques années déjà mais a récemment été utilisé à grande échelle, ce qui montre que les cybercriminels continuent d’adapter leurs techniques pour exploiter les enteprises en se servant de la pandémie comme d’un prétexte », déclare Xavier Duros, CTO de Check Point Software France. « IcedID est un Trojan particulièrement évasif qui utilise toute une série de techniques pour voler des données financières. Les entreprises doivent donc s’assurer qu’elles disposent de systèmes de sécurité robustes pour empêcher que leurs réseaux ne soient compromis et minimiser les risques. Il est indispensable que les employés reçoivent une formation complète, comme toujours, pour être capable d’identifier les types d’emails malveillants qui répandent IcedID et d’autres malwares. »

Check Point Research avertit également que « HTTP Headers Remote Code Execution (CVE-2020-13756) » est la vulnérabilité exploitée la plus courante, touchant 45% des entreprises dans le monde, suivie de « MVPower DVR Remote Code Execution » qui touche 44% d’entre elles. « Dasan GPON Router Authentication Bypass (CVE-2018-10561) » occupe la troisième place dans la liste des vulnérabilités les plus exploitées, avec un impact global de 44%.

* Les flèches indiquent le changement de position par rapport au mois précédent.

Ce mois-ci, Dridex est le malware le plus populaire avec un impact global de 16% des entreprises, suivi de IcedID et Lokibot qui touchent respectivement 11% et 9% des entreprises dans le monde.

1. ↑ Dridex -Dridex est un cheval de Troie qui cible la plate-forme Windows et qui serait téléchargé via la pièce jointe d’un spam. Dridex contacte un serveur distant et envoie des informations sur le système infecté. Il peut également télécharger et exécuter des modules arbitraires reçus du serveur distant.
2. ↑ IcedID – IcedID est un cheval de Troie bancaire qui se propage par le biais de campagnes de spams et utilise des techniques d’évasion telles que l’injection de processus et la stéganographie pour voler les données financières des utilisateurs.
3. ↑ Lokibot – Lokibot est un voleur d’informations distribué principalement via des emails de phishing et utilisé pour voler diverses données telles que les identifiants de messagerie, ainsi que les mots de passe des portefeuilles de CryptoCoin et des serveurs FTP.

Ce mois-ci, « HTTP Headers Remote Code Execution (CVE-2020-13756) » est la vulnérabilité exploitée la plus courante, affectant 45% des entreprises dans le monde, suivie de « MVPower DVR Remote Code Execution » qui touche 44% d’entre elles. « Dasan GPON Router Authentication Bypass (CVE-2018-10561) » occupe la troisième place avec un impact global de 44%.

1. ↑ HTTP Headers Remote Code Execution (CVE-2020-13756) – Les en-têtes HTTP permettent au client et au serveur de transmettre des informations supplémentaires avec une requête HTTP. Un attaquant distant peut utiliser un en-tête HTTP vulnérable pour exécuter un code arbitraire sur la machine de la victime.
2. ↑ MVPower DVR Remote Code Execution – vulnérabilité d’exécution de code à distance qui existe dans les appareils MVPower DVR. Un pirate peut exploiter cette vulnérabilité à distance pour exécuter du code arbitraire dans le routeur affecté via une requête spécialement conçue.
3. ↑ Dasan GPON Router Authentication Bypass (CVE-2018-10561) – vulnérabilité de contournement d’authentification qui existe dans les routeurs GPON de Dasan. L’exploitation réussie de cette vulnérabilité permettrait à des attaquants à distance d’obtenir des informations sensibles et un accès non autorisé au système concerné.

Ce mois-ci, Hiddad occupe la première place des malwares mobiles les plus répandus, suivi de xHelper et FurBall.

1. Hiddad – Hiddad est un malware Android qui reconditionne les applications légitimes, puis les libère dans un magasin tiers. Sa fonction principale est d’afficher des publicités, mais il peut également accéder aux principaux détails de sécurité intégrés au système d’exploitation.
2. xHelper – application malveillante découverte en mars 2019, utilisée pour télécharger d’autres applications malveillantes et afficher des publicités. L’application est capable d’échapper à l’attention des utilisateurs et de se réinstaller en cas de désinstallation.
3. FurBall – FurBall est un MRAT (Mobile Remote Access Trojan) Android déployé par APT-C-50, un groupe APT lié au gouvernement iranien. Ce malware a été utilisé dans de multiples campagnes remontant à 2017, et est toujours actif aujourd’hui. Parmi les fonctionnalités de FurBall, citons le vol de messages SMS et de journaux d’appels mobiles, l’enregistrement des appels et de l’environnement, la collecte de fichiers multimédias, la localisation, etc.

Le classement mondial d’impact des menaces de Check Point et sa carte ThreatCloud sont alimentés par l’intelligence ThreatCloud de Check Point, le plus grand réseau collaboratif de lutte contre la cybercriminalité qui fournit des données sur les menaces et les tendances des attaques à partir d’un réseau mondial de capteurs de menaces. La base de données ThreatCloud inspecte plus de 3 milliards de sites web et 600 millions de fichiers par jour, et identifie plus de 250 millions d’activités malveillantes chaque jour.

La liste complète des 10 principales familles de logiciels malveillants en mars est disponible sur le blog de Checkpoint.