[Monde] Rapport de Tenable sur l’état de la menace 2021

Le 20 janvier 2022, Tenable a publié un rapport Threat Landscape Retrospective (TLR) réalisé par l’équipe Security Response Team (SRT). Cet article propose une synthèse focalisée sur les informations liées au domaine de la Santé. Le rapport TLR détaille les vulnérabilités les plus exploitées, il précise plusieurs données statistiques ainsi qu’un ensemble d’éléments clés pour comprendre les menaces et comment y remédier. Le rapport TLR est disponible ici.

Une augmentation importante des évènements de cybersécurité en 2021
Quelques chiffres concernant l’année 2021, tous les domaines confondus : 1 825 incidents ont été recensés, un total de 21957 nouvelles vulnérabilités a été identifié et plus de 40 milliards de données sensibles ont été publiquement divulguées. Le domaine de la Santé a été fortement impacté, représentant plus de 24% de la violation des données. La menace cyber est caractérisée par des moyens utilisés par les cybercriminels exploitant les liens des victimes avec leurs fournisseurs (chaine logistique) pour mettre en œuvre la stratégie de la double extorsion. Les attaquants exploitent également des failles liées à l’évolution du périmètre de leur SI (externalisation).
 

Les moyens utilisés par les Cybercriminels
36,2% des attaques utilisaient les programmes rançongiciels et 19% utilisaient l’ingénierie sociale (hameçonnages et corruption des courriels). D’autres moyens moins significatifs ont aussi été utilisés, notamment : le vol d’équipement médical, les anciens employés (risque de menace interne), les bases de données non sécurisées, les mauvaises configurations des applications, les vulnérabilités, les programmes malveillants…

La chaine logistique utilisée pour la double extorsion
Contrairement aux groupes pratiquant le cyberespionnage qui utilisent la chaine logistique comme un moyen pour accéder aux données sensibles, les attaques par rançongiciels se focalisent sur une perturbation de cette même chaine pour faire pression sur le paiement de la rançon. La fin de l’année 2019 fut marquée par la première démonstration de la double extorsion menée par le rançongiciel Maze. Par la suite, cette stratégie s’est beaucoup répandue entre cybercriminels au cours de l’année 2020, jusqu’à devenir en 2021 le facteur clé pour l’accumulation d’un maximum de bénéfices. Le domaine de la santé est depuis souvent impacté par la stratégie de la double extorsion sur ses chaines logistiques.

Pour rappel, l'extorsion traditionnelle réalisée par les opérateurs de rançongiciels consiste à chiffrer les données de la victime. La double extorsion consiste à voler les données avant de les chiffrer, puis d'utiliser ce vol pour faire pression sur la victime. Un compte à rebours est déterminé, lorsque celui-ci arrive à expiration, les données volées sont alors divulguées par les cybercriminels sur un site web.

Évolution du périmètre
L’utilisation des Logiciels et des infrastructures en tant que service (SaaS et IaaS) ainsi que les services Cloud remettent en question la conception traditionnelle de la sécurité du périmètre. En effet, des services externes peuvent mettre en avant des avantages économiques attrayants sans pour autant être en adéquation avec les requis en matière de sécurité informatique. Cette inadéquation se révèle essentiellement par une absence de correctifs à jour, des systèmes d’exploitation obsolètes, des configurations incorrectes de programmes et d’équipements.