Les cybercriminels ciblent quatre secteurs d'activité

Même si les entreprises de tous les secteurs et de toutes les tailles enregistrent actuellement une forte croissance des attaques de pirates, les cybercriminels ont des intentions différentes derrière ces incidents. Pour tous les groupes cibles, la publication ou la divulgation illégale d'informations est très gênante, mais les secteurs de la finance et de la santé sont les plus touchés par ce type d'incidents. Le large éventail d'attaques informatiques avec d'autres intentions vise actuellement principalement les fournisseurs de SaaS/logiciels, suivis par le secteur financier, les entreprises de production et le secteur de la santé.

Secteur cible 1 : Santé

Les hôpitaux, les caisses d'assurance maladie et d'autres institutions du secteur de la santé s'appuient de plus en plus sur des services de plateforme pour partager et gérer les données des patients et d'autres informations importantes. Les contraintes de rationalisation et l'accélération de la transformation numérique dans le cadre de la pandémie ou des initiatives telles que le dossier médical électronique augmentent le besoin de numériser les processus, de l'échange de données à la planification des rendez-vous ou aux congés maladie. Par ailleurs, le nombre de points finaux augmente, notamment dans le cloud ou grâce à l'Internet des objets.

La forte augmentation du nombre de systèmes, d'applications et d'utilisateurs élargit la surface d'attaque. Il suffit d'une attaque contre un prestataire de services informatiques comme Bitmark pour que le fonctionnement d'un hôpital soit gravement perturbé. Les hôpitaux sont en outre des cibles lucratives pour les attaques de chantage, car ils ne peuvent pas accepter des temps d'arrêt ou des pertes de données dans l'intérêt de la santé des patients ou même en raison du danger pour leur vie. Les législateurs renforcent ou étendent en outre leurs initiatives en matière de conformité. Les fabricants d'appareils médicaux, par exemple, sont désormais également concernés par les nouvelles exigences NIS-2. En 2022, le responsable hambourgeois de la protection des données a infligé une amende de 105.000 euros pour l'envoi répété de faux courriers médicaux et l'absence de fonction de journalisation pour l'accès aux données des patients.

Secteur cible 2 : Services financiers

Le client bancaire numérisé d'aujourd'hui, qui attend la même simplicité de ses opérations bancaires sur son smartphone que lors d'une commande sur Amazon, tout en bénéficiant de la sécurité d'un coffre-fort bancaire ou de la confidentialité d'un entretien personnel dans une agence, est le facteur de risque qui bouleverse tout dans l'eBanking. Les instituts de crédit eux-mêmes ou, dans la même mesure, des prestataires de services spéciaux tels que le partenaire pour le changement de compte de la Deutsche Bank, de la Postbank ou de l'ING ou la filiale de la Sparkasse Deutsche Leasing sont dans le collimateur. Les cybercriminels se font passer pour des dirigeants ou d'autres personnes haut placées afin d'inciter les employés à transférer des fonds ou à divulguer des informations confidentielles.

Les fournisseurs de services financiers sont donc eux aussi soumis à de multiples pressions réglementaires : outre la loi sur le secret bancaire et la lutte contre le blanchiment d'argent, la norme PCI-DSS pour les cartes de crédit ou les normes industrielles classiques, le Digital Operational Resilience Act (DORA), en vigueur depuis janvier pour les entreprises financières et leurs prestataires de services informatiques, exige entre autres une surveillance des comportements anormaux. Cela implique une visibilité des systèmes, des processus et du trafic de données dans l'infrastructure informatique au-delà du point final classique.

Secteur cible 3 : entreprises de production

Les systèmes et processus numérisés, automatisés et de plus en plus basés sur le cloud dans la production et la chaîne d'approvisionnement élargissent la surface d'attaque. Le secteur de la fabrication est une cible importante pour les cyberespions d'origine étatique qui cherchent à perturber les infrastructures critiques et à voler la propriété intellectuelle. Rheinmetall a réussi à repousser une attaque probablement russe. Les intérêts économiques ont été le moteur de l'attaque contre le fournisseur de pièces détachées automobiles Bilstein Group, un exemple d'industrie automobile sous pression. Une cybersécurité insuffisante, des appareils vulnérables et des systèmes mal configurés sont des facteurs de risque pour des scénarios d'attaque connus, qui commencent généralement par une attaque de phishing. Il n'est donc pas surprenant qu'en plus de la norme industrielle ISO 27001, d'autres règlements soient à l'origine de nouvelles tâches informatiques. La NIS 2 devient pertinente pour un nombre croissant d'entreprises industrielles, le législateur ayant encore élargi le cercle des entreprises "importantes" ou "essentielles" concernées et incluant désormais les petites entreprises à partir de 50 employés.

Secteur cible 4 : SaaS et logiciels

Les fournisseurs de Software-as-a-Service et les éditeurs de logiciels sont les moteurs de la transformation numérique. En tant que premiers utilisateurs de nouvelles technologies, ils sont les plus susceptibles d'être exposés. La volonté d'innovation, positive en soi, peut exposer ces entreprises à de nouveaux dangers que les parties prenantes ne comprennent peut-être pas encore pleinement.

En tant que point de départ d'attaques en cascade de grande envergure, la chaîne d'approvisionnement avec logiciels est justement une porte d'entrée avec un effet de dispersion élevé pour des attaques opportunistes, qui se déroulent d'abord automatiquement. Enfin, les clients peuvent bloquer les produits mal affectés dont ils dépendent. Dans le cas de l'attaque contre le fournisseur de l'application de vidéoconférence 3CX en avril 2023, les pirates savaient qu'ils pouvaient compromettre des milliers d'autres entreprises avec une seule attaque.

Le secteur jeune, avec une forte proportion de start-ups, souffre en outre plus souvent d'un manque de ressources, d'une pénurie de spécialistes en cybersécurité et de budgets informatiques limités. Elle doit néanmoins s'atteler à la tâche de la cybersécurité, car les investisseurs surveillent les efforts des candidats à l'investissement dans ce domaine lorsqu'ils décident d'investir du capital-risque, d'acheter ou de racheter une entreprise.

Protection informatique de base contre les attaquants généralistes

Seule une partie des pirates recherchent dès le départ des vulnérabilités spécifiques à la branche ou envoient des e-mails de spear-phishing avec des destinataires ayant fait l'objet de recherches approfondies. La première chaîne de défense doit donc être, dans chaque branche, une protection informatique de base conforme à l'état actuel de la technique contre les pirates opportunistes, qui recherche les failles de manière automatisée à l'aide de différentes méthodes.
La base d'une telle protection informatique de base est une vue globale en temps réel de toutes les opérations informatiques légitimes, mais aussi potentiellement anormales. Un système de surveillance de la sécurité doit couvrir l'ensemble de l'infrastructure, c'est-à-dire les points finaux informatiques classiques ainsi que le réseau lui-même. Il doit également inclure les nœuds et les plates-formes du cloud, les appareils de l'Internet des objets et, le cas échéant, les environnements OT.

Des experts en sécurité externes contre les pirates informatiques ciblés

Mais chaque secteur a également besoin de connaître le paysage des attaques en cours dans son industrie. Dans les campagnes hybrides opportunistes, après une analyse automatique des vulnérabilités et un premier accès au réseau, seule la deuxième étape d'une attaque est plus spécifiquement adaptée au secteur et à la victime. Dès que les attaquants obtiennent l'accès, ils parcourent les réseaux et adaptent leurs actions au secteur concerné. Par exemple, dans les secteurs de la santé et de la finance, où les données sensibles jouent un rôle crucial, les attaquants se concentrent sur l'exfiltration des données qui rapportent le plus ou pour lesquelles les entreprises sont les plus susceptibles de payer une rançon. D'autre part, l'environnement de production, qui fonctionne sans interruption, est volontiers une cible principale des attaques visant sa disponibilité : les pirates pourraient y utiliser des ransomwares pour bloquer les systèmes et provoquer un arrêt de production coûteux.

La protection contre ces menaces ciblées nécessite des experts externes. Aucun administrateur informatique ne peut savoir qui attaque quelle application chez la concurrence, qu'une entreprise utilise peut-être elle-même. Les petites et moyennes entreprises, en particulier, ne disposent souvent pas des compétences et des experts nécessaires pour réagir à temps, et encore moins pour devancer les attaquants. Seuls des services de sécurité performants, par exemple un SOC externe ou un service Managed-Detection-and-Response (MDR) avec des analystes de sécurité externes, permettent de détecter de manière proactive les dangers spécifiques au secteur et de réagir rapidement en cas d'attaque. Il n'est donc pas nécessaire d'investir dans des spécialistes informatiques internes supplémentaires, souvent indisponibles ou inabordables. De plus, la mise en place d'une équipe SOC interne et d'une infrastructure correspondante peut prendre des mois, voire des années. Ce délai est inacceptable compte tenu des pressions réglementaires et environnementales croissantes. L'aide extérieure comprend toutefois aussi des cyberassurances ou encore un conseil juridique externe et professionnel, ainsi que la connaissance des paniers de subventions actuels spécifiques au secteur.

Auteur : Jörg von der Heydt, directeur régional DACH de Bitdefender