Fortinet révèle que les cybercriminels ont su exploiter les nouvelles vulnérabilités 43% plus rapidement qu'au premier semestre 2023
Le nouveau rapport semestriel de FortiGuard Labs sur les menaces mondiales incite les éditeurs à adopter les bonnes pratiques en matière de divulgation des vulnérabilités, et les entreprises à améliorer leurs pratiques de sécurité et de gestion des patchs
Diegem, le 23 mai 2024 – Fortinet® (NASDAQ: FTNT), leader mondial de la cybersécurité et acteur majeur de la convergence réseau & sécurité, annonce la publication de son nouveau rapport FortiGuard Labs sur les menaces mondiales pour le second semestre 2023 (S2 2023). Ce nouvel opus dresse un état des lieux des menaces et des tendances observées de juillet à décembre 2023. Il pointe notamment la célérité dont font preuve les cyber-assaillants pour tirer parti de nouveaux exploits ainsi que la virulence des ransomwares ciblés et des malwares de type « wiper » contre les acteurs industriels et de l’OT.
“Le rapport de FortiGuard Labs sur les menaces mondiales au second semestre 2023 témoigne de la vélocité des assaillants à exploiter toute nouvelle vulnérabilité divulguée. Dans ce contexte, les éditeurs et les entreprises doivent réagir. Les éditeurs doivent intégrer des fonctions de sécurité robustes à chaque étape de leur cycle de développement produit, tout en faisant preuve de transparence radicale lorsqu’elles divulguent des vulnérabilités. Avec plus de 26 447 vulnérabilités affectant plus de 2 000 éditeurs en 2023 selon le NIST, les clients doivent déployer un processus strict et pertinent de patching pour tempérer le risque d’exploitation,” souligne Derek Manky, Chief Security Strategist & Global VP Threat Intelligence, FortiGuard Labs
Les principales conclusions du second semestre 2023 sont les suivantes :
- Les attaques démarrent, en moyenne, 4,76 jours après la divulgation publique des nouveaux exploits : comme dans le rapport sur les menaces mondiales sur le 1er semestre 2023, FortiGuard Labs a tenté d’estimer le délai entre la divulgation d’une vulnérabilité et son exploitation. Les chercheurs ont également cherché à identifier si les vulnérabilités disposant d’un score EPSS (Exploit Prediction Scoring System) élevé étaient exploitées plus rapidement, et s’il était possible de prévoir le délai moyen avant exploitation d’une vulnérabilité divulguée sur la base des données EPSS. Sur la base de cette analyse, le second semestre 2023 montre que les assaillants sont 43 % plus rapides (comparé au S1 2023) à exploiter les nouvelles vulnérabilités divulguées. Cette tendance met en exergue la nécessité pour les éditeurs de s’investir pour identifier en interne toute vulnérabilité et concevoir un patch avant l’exploitation de vulnérabilités 0-day. Les éditeurs doivent également divulguer de manière proactive et transparente les vulnérabilités à leurs clients, ces derniers disposant ainsi de l’information nécessaire pour protéger efficacement leurs ressources, avant que les cybercriminels ne puissent exploiter les vulnérabilités.
- Des vulnérabilités sans patch depuis plus de 15 ans : les RSSI et les équipes de sécurité ne peuvent plus se contenter d’identifier uniquement les nouvelles vulnérabilités. Les indicateurs de Fortinet montrent que 41 % des entreprises ont détecté, à partir de signatures, des exploits datant de moins d’un mois. La quasi-totalité des entreprises (98%) a détecté des vulnérabilités datant de 5 ans et plus. FortiGuard Labs continue également d’observer des acteurs de la menace qui exploitent des vulnérabilités datant de plus de 15 ans. Ces chiffres incitent vivement à la vigilance en matière de pratiques de sécurité. Les entreprises doivent pouvoir réagir rapidement grâce à un programme pertinent de patching et de mise à jour. Elles sont également invitées à appliquer les recommandations d’organismes tels que la Network Resilience Coalition pour améliorer la sécurité globale des réseaux.
- Moins de 9 % des vulnérabilités connues et liées aux endpoints ont été ciblées par des attaques : en 2022, FortiGuard Labs introduisait le concept de “red zone” pour évaluer la probabilité qu’un cybercriminel exploite des vulnérabilités spécifiques. Pour illustrer ce point, les trois dernières éditions de ce rapport mondial sur les menaces se sont penchées sur le nombre total de vulnérabilités affectant les endpoints. Sur S2 2023, l’étude indique que 0,7% de toutes les vulnérabilités CVE observées sur les endpoints font l’objet d’attaques. Les équipes de sécurité doivent donc se focaliser sur cette surface d’attaque plutôt restreinte et hiérarchiser leurs efforts de remédiation.
- 44 % des échantillons de ransomware et de wiper ciblent les secteurs industriels : sur l’ensemble des capteurs de Fortinet, les détections de ransomware ont baissé de 70 % par rapport à la première moitié de 2023. Ce ralentissement résulte essentiellement d’assaillants qui renoncent à des campagnes de type « spray and spray » pour privilégier une approche plus précise, qui cible des acteurs évoluant dans des secteurs tels que l’énergie, les soins de santé, la production industrielle, les transports et l’automobile.
- Les botnets se montrent résilients, avec un délai moyen de 85 jours entre la détection des communications Command & Control (C2) et leur neutralisation : si le trafic lié aux bots est resté stable sur la première moitié de 2023, FortiGuard Labs constate que les botnets les plus prévalents au cours des récentes années (Gh0st, Mirai et ZeroAccess notamment) restent en activité. Trois nouveaux botnets ont été identifiés sur le second trimestre 2023 : AndroxGh0st, Prometei et DarkGate.
- 38 des 143 groupes de menaces APT (Advanced Persistent Threat) répertoriés par MITRE ont été identifiés comme étant actifs sur S2 2023 : FortiRecon, le service de protection contre les risques digitaux de Fortinet, indique que 38 des 143 groupes suivis par MITRE ont été en activité sur la seconde moitié de 2023. Parmi ceux-ci, Lazarus Group, Kimusky, APT28, APT29, Andariel et OilRig se sont montrés les plus virulents. Notons que les campagnes menées par des groupes APT ou sponsorisées par des États-nations sont plus rapides et ciblées que celles des cybercriminels qui s’inscrivent sur le long terme. L’évolution et le volume d’activité dans ce domaine feront l’objet d’un suivi régulier par FortiGuard Labs.
Activités sur le Dark Web
Le rapport sur les menaces mondiales sur S2 2023 propose également des données issues de FortiRecon, pour mieux cerner l’activité des auteurs de menaces sur les forums du Dark web, les marketplaces, Telegram et autres canaux. Voici une synthèse des informations recueillies :
- Les auteurs de menaces échangent sur l’idée de cibler plus activement les acteurs de la finance, les secteurs des services aux entreprises et de l'éducation.
- Plus de 3 000 piratages de données ont été partagés sur des forums majeurs du dark web.
- 221 vulnérabilités ont fait l’objet de discussions actives sur le darknet, tandis que 237 vulnérabilités ont été le sujet d’échange sur les canaux Telegram.
- Les données de plus de 850 000 cartes de paiement ont été proposées à la vente.
Inverser la tendance face à la cybercriminalité
Avec une surface d’attaque qui gagne en complexité et une pénurie globale de compétences en cybersécurité, il est plus que jamais difficile pour les entreprises de gérer efficacement les infrastructures complexes, constituées de multiples solutions. Il est tout autant compliqué de garder la main sur le volume d’alertes en provenance de produits de sécurité distincts et de se défendre contre les différentes tactiques, techniques et procédures qu’utilisent les cybercriminels pour s’en prendre à leurs victimes.
Pour riposter à la cybercriminalité, il s’agit de faire preuve de collaboration, de transparence et de responsabilité, à une échelle bien plus importante que celle d’une entreprise seule. Chaque entreprise est un maillon de la chaîne de lutte contre les cybermenaces. La collaboration avec des acteurs reconnus et respectés issus des secteurs publics et privés, qu’il s’agisse de CERT, d’administrations ou encore d’institutions académiques, est fondamentale dans l’engagement de Fortinet à renforcer la cyber-résilience à l’échelle mondiale.
L’innovation technologique et la collaboration entre secteurs d’activité et des groupes de travail tels que la Cyber Threat Alliance, Network Resilience Coalition, Interpol, le Partnership Against Cybercrime du forum économique mondial (WEF) et le Cybercrime Atlas, sont autant de moyens de renforcer de manière collective la protection et de contribuer à la lutte contre la cybercriminalité mondiale.
Rendez-vous sur le blog pour davantage d’informations sur cette étude, ou consultez le rapport dans son intégralité.
À propos de FortiGuard Labs
FortiGuard Labs est le laboratoire de recherche et de veille sur les menaces de Fortinet. Sa mission est de fournir aux clients de Fortinet des informations pertinentes sur les menaces, afin de les protéger contre les activités malveillantes et les cyberattaques sophistiquées. Cet organisme regroupe des chercheurs en menaces, analystes, ingénieurs et data scientists qui s’investissent dans la recherche et le traitement de menaces dans le monde entier. FortiGuard Labs surveille en permanence la surface d'attaque mondiale à l'aide de millions de capteurs réseau et de centaines de partenaires. Les informations recueillies sont analysées et traitées à l'aide de l'intelligence artificielle (IA) et d'autres technologies innovantes pour exploiter ces données de recherche sur les nouvelles menaces. Ces efforts se traduisent par des renseignements décisionnels donnant lieu à des mises à jour des produits de sécurité Fortinet. Les recherches proactives sur les menaces aident nos clients à mieux les comprendre et à cerner les acteurs malveillants auxquels ils sont confrontés. FortiGuard Labs propose également des services de conseil spécialisés pour aider les clients à mieux comprendre et maîtriser l’univers des menaces. Pour en savoir plus, merci de consulter le site https://www.fortinet.com/fr, le blog Fortinet ou FortiGuard Labs.
À propos de Fortinet
Fortinet (NASDAQ : FTNT) est un acteur majeur de la cybersécurité qui contribue activement à faire converger réseau et sécurité. Notre mission est de protéger les utilisateurs, les dispositifs et les données, où qu’ils se trouvent. Aujourd’hui, nous déployons une cybersécurité sur le périmètre de votre choix, grâce à notre offre de plus de 50 produits professionnels. Plus d’un demi-million de clients font confiance aux solutions de Fortinet, des solutions déployées à grande échelle, bénéficiant de multiples brevets et reconnues par le marché. Fortinet Training Institute propose un programme de formation particulièrement riche en matière de cybersécurité à l’intention de tous, et notamment de celles et ceux qui souhaitent s’orienter vers les métiers de la cybersécurité. FortiGuard Labs, la division de Fortinet dédiée à la veille et aux études sur les menaces, conçoit et utilise des technologies IA et de machine Learning performantes pour apporter aux clients une protection optimale et une veille décisionnelle sur les menaces. Pour en savoir plus, consultez le site https://www.fortinet.com/fr, le blog Fortinet ou FortiGuard Labs.