Au cours des deux dernières années, l’équipe Digital Footprint Intelligence de Kaspersky a découvert près de 40 000 publications sur le dark web traitant de vente d’informations internes d’entreprise. Créées par des cybercriminels, ces publications ont pour but d’acheter, de vendre ou de disséminer des données volées à diverses entreprises lors d’attaques cyber. On constate une hausse de 16 % du nombre de publications offrant un accès aux infrastructures d’entreprise par rapport à l’année précédente. À l’échelle mondiale, une entreprise sur trois était citée dans des publications sur le dark web liées à la vente de données ou d’accès.
Tribune Kaspersky – Les experts en empreinte numérique de Kaspersky ont observé une moyenne de 1731 messages sur le dark web par mois traitant de vente, d’achat et de diffusion de bases de données internes et de documents d’entreprise, totalisant près de 40 000 messages entre janvier 2022 et novembre 2023. Les ressources surveillées comprenaient des forums du dark web, des blogs et également des chaînes Telegram clandestines.
Un autre type de données disponible sur le dark web concerne l’accès aux infrastructures d’entreprise, offrant aux cybercriminels l’obtention d’un accès déjà existant à une société, permettant aux attaquants de rendre leurs actions plus efficaces. Selon la recherche de Kaspersky, plus de 6 000 messages sur le dark web ont fait la publicité de telles offres de janvier 2022 à novembre 2023. Actuellement, les cybercriminels proposent de manière croissante des offres d’accès, avec une augmentation de 16 % dans le nombre moyen de messages mensuels correspondants, passant de 246 en 2022 à 286 en 2023. Bien que le nombre de messages puisse ne pas sembler élevé, cela ne diminue pas la portée potentielle du problème. Avec la menace imminente d’attaques contre la chaîne d’approvisionnement l’année prochaine, même les violations ciblant des entreprises plus petites pourraient avoir des répercussions sur de nombreuses personnes et entreprises à l’échelle mondiale.
“Chaque communication sur le dark web ne renferme pas forcément des informations nouvelles ou exclusives. Il arrive que certaines annonces soient répétitives, notamment lorsque des acteurs malveillants cherchent à écouler rapidement des données. Dans ce cas, ils peuvent les diffuser sur divers forums clandestins afin d’atteindre un public plus vaste de criminels potentiels. De plus, certaines bases de données peuvent être fusionnées et présentées comme nouvelles. Un exemple courant est celui des “combo-lists” : des bases de données qui regroupent des informations provenant de diverses sources déjà divulguées, telles que des mots de passe liés à une adresse e-mail spécifique”, explique Anna Pavlovskaya, experte au sein de l’équipe Kaspersky Digital Footprint Intelligence.
Afin de renforcer la sécurité des entreprises à l’échelle mondiale, les experts en empreinte numérique de Kaspersky ont scrupuleusement surveillé les références de 700 entreprises sélectionnées au hasard, en lien avec des incidents de compromission de données d’entreprise en 2022. Cette démarche a permis de fournir des renseignements cruciaux sur les cybermenaces émanant du dark web.
Les résultats ont révélé que 233 organisations – soit une entreprise sur trois – étaient mentionnées dans des publications sur le dark web liées à l’échange illicite de données. Ces références concernaient spécifiquement des sujets tels que les violations de données, l’accès volé aux infrastructures ou les comptes compromis.
Pour en savoir plus sur les discussions sur le dark web, consultez Securelist, ainsi que le site Web de Kaspersky Digital Footprint Intelligence, qui propose un guide complet pour gérer les incidents liés aux fuites. Pour éviter les menaces liées aux violations de données, nous vous conseillons d’appliquer les mesures de sécurité suivantes :
-
Il est impératif d’identifier et de réagir rapidement aux violations de données. En situation de crise, il est essentiel de commencer par vérifier la source de l’attaque, en croisant les données internes et en évaluant la crédibilité des informations. Essentiellement, une entreprise doit recueillir des preuves pour confirmer que l’attaque a eu lieu et que des données ont été compromises.
-
La surveillance constante du dark web permet de repérer à la fois les publications liées à des violations fictives et réelles, tout en suivant les pics d’activité malveillante. Étant donné que la surveillance du dark web nécessite beaucoup de ressources, elle est souvent confiée à des experts externes.
-
Il est préférable de planifier à l’avance un dispositif de communication afin de faciliter les échanges avec les clients, les journalistes et les agences gouvernementales.
-
Le développement de programmes complets de réponse aux incidents avec des équipes désignées, des canaux de communication et des protocoles permet une gestion rapide et efficace de ces incidents lorsqu’ils surviennent.