Qu'est-ce qu'une Cyberattaque ?

juin 27, 2022

Définition

Une cyberattaque est une tentative d’accès à un réseau ou système informatique menée par des cybercriminels, des cyberpirates ou d’autres cyberadversaires, généralement dans le but de modifier, voler, détruire ou exposer des informations.

Les cyberattaques peuvent cibler un large éventail de victimes, qu’il s’agisse de particuliers, d’entreprises ou encore d’administrations publiques. Lorsqu’il s’attaque à des entreprises ou d’autres organisations, le cyberpirate cherche généralement à accéder à des ressources sensibles et précieuses de l’entreprise, telles que les éléments de propriété intellectuelle (PI), les données des clients ou les informations de paiement.

Ces dernières années, les cyberattaques ont gagné en sophistication, accentuant ainsi la nécessité d’une stratégie et d’outils de cybersécurité adéquats. La migration vers le cloud et l’explosion du nombre de terminaux connectés sont deux facteurs clés qui justifient le besoin pour les entreprises de moderniser et renforcer leurs capacités de sécurité numérique.

Quatre types courants de cyberattaques

Les cybermenaces peuvent prendre de multiples formes. Nous examinerons ici quatre types courants de cyberattaques, à savoir les logiciels malveillants (ou malwares), les ransomwares, le phishing et les attaques de type man-in-the-middle (MITM).

Logiciels malveillants

Un logiciel malveillant, ou malware, est un programme ou un code créé dans le but de causer des dommages à un ordinateur, un réseau ou un serveur.

Dans les attaques de logiciels malveillants, les cyberpirates peuvent utiliser des techniques de phishing ou exploiter les vulnérabilités d’un réseau pour accéder à un système. La plupart des logiciels malveillants s’efforcent dans un premier temps de garantir un accès persistant au système ciblé afin que les cyberadversaires puissent s’introduire à leur convenance dans le réseau. Une fois à l’intérieur du réseau, le logiciel malveillant prend le contrôle du système dans le but de transférer des informations sensibles, comme des données de clients, des éléments de propriété intellectuelle ou des photos depuis la caméra d’un terminal, à l’opérateur du malware.

Ransomwares

Un ransomware est un type de logiciel malveillant utilisé pour empêcher les utilisateurs légitimes d’accéder à leur système et exiger le versement d’une rançon en échange du rétablissement de l’accès aux données. Les attaques de ransomwares sont conçues pour exploiter les vulnérabilités des systèmes et accéder au réseau. Dès lors qu’un système a été infecté, le ransomware permet aux cyberpirates de bloquer l’accès au disque dur ou de chiffrer les fichiers d’un ordinateur.

Dans le cadre des attaques de ransomwares, les cyberadversaires demandent généralement le paiement de la rançon au moyen d’une cryptomonnaie intraçable. Malheureusement, dans de nombreux cas, l’utilisateur ne récupère pas son accès, même après le versement de la rançon.

Phishing

Le phishing est un type de cyberattaque qui utilise des e-mails, des SMS, le téléphone ou les réseaux sociaux pour inciter une victime à partager des informations sensibles, comme des mots de passe ou des numéros de compte, ou à télécharger un fichier malveillant qui installera un virus sur son ordinateur ou son téléphone.

Les grandes marques et les organismes publics voient souvent leur identité usurpée dans le cadre d’attaques de phishing afin d’augmenter les chances de réussite de ces campagnes et récupérer ainsi des informations précieuses.

Attaques de type man-in-the-middle (MITM)

Une attaque de type man-in-the-middle est une cyberattaque dans le cadre de laquelle un cybercriminel espionne la conversation entre un utilisateur du réseau et une application web. L’objectif d’une attaque de type man-in-the-middle est de collecter subrepticement des informations, telles que des données personnelles, des mots de passe ou des coordonnées bancaires, et/ou d’usurper l’identité d’une partie afin d’obtenir des informations supplémentaires ou de susciter une action. Par exemple, modifier des identifiants de connexion, exécuter une transaction ou effectuer un transfert de fonds.

Si les cyberattaquants qui ont recours aux attaques MITM ciblent souvent les particuliers, ils représentent également une source de préoccupation importante pour les entreprises de toutes tailles. Les applications SaaS (Software-as-a-Service) constituent un point d’accès courant pour les cyberpirates. En effet, ceux-ci peuvent utiliser ces applications en tant que porte d’entrée vers le réseau étendu de l’entreprise, et compromettre potentiellement un certain nombre de ressources, notamment les données des clients, les éléments de propriété intellectuelle ou des informations propriétaires ou sensibles concernant l’entreprise et ses collaborateurs.

Autres types de cyberattaques

Attaques par déni de service (DoS)

Une attaque par déni de service (DoS) est une attaque ciblée qui inonde délibérément un réseau de fausses requêtes dans le but de perturber les activités métier. Lors d’une attaque DoS, les utilisateurs sont incapables d’effectuer des tâches courantes et nécessaires, comme accéder à la messagerie électronique, à des sites web, à des comptes en ligne ou à d’autres ressources gérées par un ordinateur ou un réseau compromis. Si la plupart des attaques DoS n’entraînent pas de perte de données et sont généralement résolues sans versement de rançon, elles coûtent du temps, de l’argent et d’autres ressources à l’entreprise pour le rétablissement des activités stratégiques.

Scripts intersites (XSS)

Les scripts intersites constituent une attaque par injection de code, dans le cadre de laquelle un cyberadversaire insère un code malveillant dans un site web légitime. Le code s’exécute ensuite sous la forme d’un script infecté dans le navigateur web de l’utilisateur, permettant ainsi au cyberattaquant de voler des informations sensibles ou d’usurper l’identité de l’utilisateur. Les forums web, les groupes de discussion, les blogs et autres sites web qui permettent aux utilisateurs de publier leur propre contenu sont les plus exposés aux attaques XSS.

Injection SQL

Les attaques par injection SQL sont similaires aux attaques XSS dans le sens où les cyberadversaires exploitent les vulnérabilités du système pour injecter des instructions SQL malveillantes dans une application fondée sur les données, ce qui leur permet ensuite d’extraire les informations d’une base de données. Les cyberpirates utilisent les techniques d’injection SQL pour modifier, voler ou effacer des données.

Attaques zero day

Un exploit zero day est une vulnérabilité de sécurité ou une faille logicielle inconnue qu’un cybercriminel peut cibler avec du code malveillant avant que le développeur du logiciel concerné n’ait eu le temps de publier un correctif.

Tendances en matière de cyberattaques

Le Global Threat Report de CrowdStrike, un rapport annuel offrant un éclairage unique sur le paysage mondial des menaces et les bonnes pratiques que peuvent adopter les entreprises pour renforcer leur cybersécurité, a identifié plusieurs tendances émergentes. La version 2021 du Global Threat Report tire les principales conclusions suivantes :

  • Explosion du nombre d’attaques de la supply chain, des ransomwares, des extorsions de données et des menaces imputables à des États
  • Utilisation accrue des ransomwares et des techniques de « chasse au gros gibier », notamment dans le secteur de la santé, où les cyberadversaires à la solde d’États ont cherché à voler de précieuses données sur la recherche de vaccins contre la COVID-19
  • Croissance sans précédent de la cybercriminalité, avec près de 80 % des intrusions interactives découvertes en 2020 imputables à des cybercriminels
  • Augmentation du recours à des techniques d’extorsion de données, accentuée par l’introduction de sites de fuite dédiés

2022 CrowdStrike Global Threat Report

Téléchargez le Global Threat Report 2022 pour découvrir les tendances observées par nos équipes chez les cyberpirates en matière de techniques, tactiques et procédures.

Télécharger

À qui doit-on ces cyberattaques ?

Le Global Threat Report 2021 met également un coup de projecteur sur certains des cyberadversaires les plus prolifiques et sophistiqués à travers le monde, notamment des États-nations, des cybercriminels et des cyberactivistes. La dernière version de notre rapport identifie notamment les organisations suivantes comme comptant parmi les plus avancées et dangereuses en matière de cybercriminalité.

Cybercriminels les plus dangereux à ce jour

Wizard Spider

« Mégacorporation » cybercriminelle établie spécialisée dans la chasse au gros gibier, Wizard Spider a été l’organisation la plus signalée en 2020. Les activités de ce cyberadversaire ont commencé doucement et de manière sporadique, avant de s’intensifier progressivement sur le reste de l’année. Il s’agit de l’un des cyberadversaires les plus redoutables, notamment en raison de la variété des outils qu’il utilise.

Wicked Panda

Wicked Panda Adversary

Soupçonné d’être basé en Chine, Wicked Panda continue d’être l’un des cyberadversaires les plus actifs suivis par l’équipe CrowdStrike Intelligence. Il a commencé l’année 2020 en menant une vaste campagne axée sur l’exploitation de diverses vulnérabilités.

Labyrinth Chollima

Probablement lié à la Corée du Nord, Labyrinth Chollima est un cyberadversaire spécialisé dans les intrusions ciblées. Il s’agit de l’un des cyberadversaires nord-coréens les plus prolifiques et les plus actifs parmi les groupes suivis par l’équipe CrowdStrike Intelligence.

Groupes à la solde d’États

L’équipe CrowdStrike Intelligence surveille également les activités des États nations. Vous trouverez ci-dessous une liste des groupes à la solde d’États identifiés dans le Global Threat Report 2021 comme présentant les plus grands risques en matière de cybersécurité :

Cyberadversaires œuvrant pour la Chine

D’après les observations, les cybercriminels chinois ciblent principalement les secteurs des technologies, de l’énergie et de la santé. Au cours de l’année écoulée, CrowdStrike a constaté une augmentation du nombre de cyberadversaires chinois, notamment en raison de la détérioration des relations entre la Chine et les États-Unis.

Cyberadversaires œuvrant pour l’Iran

Cette année, les cyberpirates iraniens ont intensifié leurs efforts par l’adoption de nouvelles tactiques, techniques et procédures (TTP), notamment des campagnes de compromission de sites web stratégiques et des logiciels malveillants sur mobile, pour cibler des rivaux sur le plan régional, neutraliser les activités de dissidents ou encore renforcer leurs campagnes de « guerre insidieuse ».

Cyberadversaires œuvrant pour la Corée du Nord

Malgré des avancées sur le plan diplomatique, les cyberadversaires nord-coréens semblent avoir renforcé leurs activités au cours de l’année. Entre autres objectifs, le secteur financier et les renseignements liés aux relations entre les deux Corée font figure de priorités pour les attaquants nord-coréens.

Cyberadversaires œuvrant pour la Russie

Les cyberpirates russes font cette année encore partie des cyberadversaires à la solde d’États les plus actifs et les plus destructeurs. Leurs principales cibles incluent les entités publiques, militaires et de défense ukrainiennes.

Protéger votre entreprise contre les cybermenaces avancées

Dans le monde connecté actuel, une stratégie de cybersécurité globale est absolument essentielle. D’un point de vue commercial, la sécurisation des ressources numériques de l’entreprise présente l’avantage évident de réduire les risques de perte, de vol ou de destruction de données, ainsi que le risque de devoir payer une rançon pour reprendre le contrôle des données ou systèmes de l’entreprise. En prévenant les cyberattaques ou en les neutralisant rapidement, l’entreprise minimise également l’impact de tels événements sur les opérations métier. Enfin, lorsqu’une entreprise prend des mesures pour dissuader les cyberadversaires, elle protège la marque contre les atteintes à la réputation souvent associées aux cyberévénements, en particulier ceux qui impliquent la perte de données de clients.