Des groupes russes de cyberattaquants ciblent des élections

0
92

Le rapport annuel M-Trends de FireEye révèle que les attaques autour des élections sont un moyen d’influencer la politique européenne.

FireEye, le spécialiste de la sécurité des réseaux basée sur l’intelligence, annonce la publication de son rapport annuel M-Trends, qui montre que les organisations laissent les cyberattaques se propager dans leurs réseaux pendant près de 3 mois et demi en moyenne avant d’être détectées et éliminées. Le rapport est basé sur les informations recueillies au cours des enquêtes menées par les analystes de sécurité de FireEye en 2016, et révèle les nouvelles tendances et tactiques utilisées par les cybercriminels pour compromettre les organisations.

Les principales conclusions du rapport comprennent :

  • Des groupes russes de cybercriminels ciblent des élections – En 2016, FireEye a observé des groupes russes essayant d’influencer les élections présidentielles américaines, et il existe des signes que ces groupes vont également cibler les diverses élections européennes qui s’annoncent en 2017. Des incidents comme celui l’année dernière qui a vu plusieurs politiciens allemands ciblés par des groupes russes vont continuer, les cyberattaques étant considérées de plus en plus comme un moyen d’influencer la politique européenne.
  • Le délai de détection des organisations de la zone EMEA est de 106 jours – Le délai de détection moyen (la durée durant laquelle un acteur de menace réside dans un environnement avant d’être détecté) s’établit à 106 jours. Ceci représente un retard d’au moins 103 jours, sachant que les experts de FireEye peuvent accéder aux identifiants d’un administrateur de domaine dans les trois jours qui suivent leur pénétration dans un environnement réseau. Le délai moyen de détection au niveau mondial est de 99 jours, ce qui montre que les organisations de la zone EMEA mettent une semaine de plus à réagir que la moyenne mondiale. Toutefois, le délai de détection moyen EMEA s’est réduit de façon significative par rapport au rapport M-Trends précédent, s’établissant à moins d’un quart des 469 jours enregistrés en 2015.
  • Les acteurs de menaces ayant des motivations financières ont atteint des niveaux inégalés de sophistication – Ces attaquants sont désormais aussi avancés que les ‘hackers’ sponsorisés par les Etats, qui sont traditionnellement beaucoup plus sophistiqués. En 2016, les attaquants à motivation financière se sont tournés vers des “backdoors” personnalisés avec une configuration unique pour chaque système compromis, ont encore accru la résilience de leur infrastructure C2, et amélioré leurs techniques permettant de contrer les enquêtes judiciaires. Une des tendances les plus inattendues en 2016 a été de voir des attaquants contacter leurs cibles par téléphone pour les aider à activer des macros dans un document de phishing ou pour obtenir leurs adresses email personnelles.
  • Le secteur de l’énergie de la zone EMEA est soumis à un niveau de risque élevé – Les acteurs de menaces causent des perturbations en essayant d’obtenir des secrets industriels afin d’améliorer les performances d’entreprises dans leur propre pays. De plus, d’autres groupes pourraient cibler des systèmes de contrôle industriel en Europe potentiellement pour perturber ou détruire des infrastructures.
  • Les compétences de chasse aux menaces deviennent accessibles à des analystes moins expérimentés – Alors que la chasse aux menaces de sécurité nécessitait jusqu’à présent des compétences très spécifiques, comme il arrive souvent, ces compétences sont désormais mieux codifiées et accessibles à des analystes moins expérimentés, des formations et des outils dédiés étant devenus disponibles. La chasse ou la traque aux menaces fait maintenant partie des compétences les plus demandées au sein des équipes de sécurité, et les spécialistes de la formation et de l’enseignement s’adaptent pour répondre à cette demande.

En 2016 nous avons vu les cyberattaques se propager largement et à visage découvert dans des domaines tels que les élections, et les méthodes utilisées sont devenues plus sophistiquées. En examinant les niveaux en nette baisse des délais de détection, nous constatons que les organisations ont fait des progrès, mais il reste encore beaucoup à faire sachant qu’il ne faut que quelques jours à des attaquants pour atteindre leurs objectifs“, a déclaré David Grout, Director Technical – PreSales, South EMEA, FireEye. “L’amélioration constatée est le fruit d’une prise de conscience accrue, d’avancées techniques et d’investissements avisés. De nouvelles réglementations gouvernementales telles que le GDPR encouragent également les organisations à mettre leur maison en ordre. Toutefois, comparé au reste du monde, la zone EMEA est toujours significativement à la traîne dans quelques domaines dont les équipes dirigeantes dans les différents pays concernés devront s’occuper rapidement.