M-Trends 2021 : le rapport FireEye Mandiant dresse un bilan des dernières intrusions

La durée médiane de présence est inférieure à un mois à l’échelle mondiale – les capacités de détection s’améliorent mais le ransomware s'envole

MILPITAS, Californie, États-Unis – 13 avril 2021FireEye, Inc. (NASDAQ : FEYE), leader de la cybersécurité pilotée par la Threat Intelligence, publie aujourd’hui son dernier rapport annuel FireEye® Mandiant® M-Trends® 2021. Dans cette 12e édition, les experts de la sécurité informatique décryptent les chiffres issus des investigations menées par Mandiant sur des attaques ciblées, perpétrées entre le 1er octobre 2019 et le 30 septembre 2020 à l'échelle mondiale.

Au programme cette année : le point sur les dernières techniques et les principaux malwares, l’essor des attaques par ransomware et l’émergence de la double extorsion, l’anticipation des prochaines offensives calquées sur UNC2452/SUNBURST, la croissance des menaces internes, ainsi que les tendances liées à la pandémie et au ciblage de certains secteurs en particulier. Les autres conclusions du rapport sont résumées ci-dessous.

Nouvelle chute de la durée médiane de présence à l'échelle mondiale

Depuis dix ans, Mandiant observe une baisse régulière de la durée médiane de présence à l’échelle mondiale, c’est-à-dire le délai entre le début d’une intrusion et le moment où celle-ci est détectée. En 2020, il n’aura fallu que 24 jours, soit deux fois moins que l’an passé (56 jours) pour repérer les traces d’une attaque. C’est la première fois que ce délai tombe sous la barre d'un mois, sachant qu’il était d'un an en 2011. Mandiant attribue ce progrès, d’une part, à l’amélioration continue des capacités de détection et de réponse des entreprises. De l’autre, les experts estiment que ce phénomène est également lié à l’émergence des attaques par ransomware et des méthodes de double extorsion.

Au niveau géographique, on observe en revanche d'importantes disparités entre les différentes régions du globe. La durée médiane de présence continue de baisser sur le continent américain, qui enregistre en outre la plus nette amélioration des cas de détection interne. Cette région, qui a vu la durée de présence fondre de 32 à seulement 9 jours, est la première à passer sous la barre des 10 jours. À l’inverse, les régions APAC et EMEA observent une hausse globale de la durée médiane de présence, due selon les experts Mandiant à un plus grand nombre de cas de présence de longue durée (plus de 3 ans).

Meilleure détection interne des incidents de sécurité

Contrairement à l’année dernière, Mandiant rapporte une hausse interne des cas de détection des incidents : les entreprises atteignent un taux de 59 %, soit 12 points de plus qu’en 2019. Ce résultat marque un réalignement sur la tendance générale des cinq dernières années.

Autre fait intéressant, la détection interne des incidents de sécurité progresse dans toutes les régions. Les entreprises du continent américain arrivent premières de ce classement avec 61 %, suivies au coude à coude par les régions EMEA et APAC avec 53 % et 52 %, respectivement. En comparaison, les entreprises APAC et EMEA ont dû plus souvent être informées de leur compromission par des entités externes.

Santé, retail et hôtellerie en ligne de mire&

Les cinq secteurs les plus visés en 2020 sont, dans l’ordre : les services aux entreprises, le retail et l’hôtellerie, la santé, les services financiers et les hautes technologies.

Les chiffres montrent une forte hausse des attaques à l’encontre des entreprises du retail et de l’hôtellerie : ce secteur arrive en deuxième position, alors qu’il n’était que onzième en 2019. Autre bond spectaculaire, celui de la santé qui passe du huitième au troisième rang cette année. Cette forte recrudescence d'attaques peut s’expliquer par le rôle vital que jouent les services de santé à l’heure de la pandémie.

Le point de vue des dirigeants de Mandiant

« Bien que les entreprises aient amélioré leurs capacités à détecter une compromission de leur environnement IT, l’évolution actuelle des cybermenaces leur impose des défis uniques. Face à la crise sanitaire, les entreprises ont dû basculer dans l'urgence vers le télétravail et de nouveaux modèles opérationnels. Du jour au lendemain, les VPN, les outils de visioconférence et autres plateformes collaboratives sont devenus des systèmes critiques, tout en modifiant leur surface d’attaque. Dans ce contexte de pandémie, des salariés non-initiés se sont même parfois retrouvés à gérer seuls des questions de connectivité et de cybersécurité. D’autre part, bien que les services aux entreprises figurent déjà parmi les domaines d’activité les plus visés depuis 2016, ils arrivent cette année en tête des secteurs les plus ciblés par les cybercriminels et groupes étatiques. Pour nous, ce triste record s'explique par le rôle clé que ces prestataires ont joué dans l'accompagnement des entreprises vers le télétravail. » – Jurgen Kutscher, Vice-président exécutif, Service Delivery, Mandiant

« Le ransomware et les méthodes de double extorsion sont les principales menaces qui planent actuellement sur les entreprises. Cette année, notre rapport indique en effet que le gain financier était la motivation possible d’au moins 36 % des intrusions analysées. Le vol de données et la revente d’accès illégaux ont le vent en poupe, à l'heure où les cybercriminels sont passés de tactiques opportunistes au ciblage direct des entreprises susceptibles de payer des rançons au prix fort. C'est donc maintenant que les équipes de sécurité doivent prendre des mesures visant à atténuer le risque de ces attaques potentielles. » Charles Carmakal, Vice-président senior et CTO, Mandiant

« L’offensive d’UNC2452, le groupe responsable de l'attaque de supply chain contre SolarWinds, nous rappelle qu’il ne faut jamais sous-estimer le pouvoir de nuisance d'attaquants patients et disciplinés. Cette attaque se distingue notamment par l’attention accordée en amont à la sécurité opérationnelle, à la contre-forensique et même à la contre-intelligence. Le combat s'annonce difficile, mais la victoire n'est pas impossible. Nous avons beaucoup appris sur UNC2452 ces derniers mois et ce travail de renseignement opèrera à notre avantage lors des prochains bras de fer. » – Sandra Joyce, Vice-présidente exécutive, Global Threat Intelligence, Mandiant

« Comme le montre notre rapport 2021, les trois principaux vecteurs de compromission initiale sont les exploits (29 %), les e-mails de phishing (23 %) et le vol d’identifiants ou attaques par force brute (19 %). Bien que le phishing reste une méthode très utilisée, de plus en plus de cybercriminels préfèrent exploiter des failles de sécurité pour infecter leurs victimes. Cette tendance sonne comme un rappel aux entreprises de l'importance d’une application rigoureuse des correctifs. Il leur faudra notamment identifier et tenir compte des sources et informations disponibles pour déterminer les systèmes ou applications à patcher en priorité selon les derniers modes opératoires observés des cyberattaquants. » – Jurgen Kutscher, Vice-président exécutif, Service Delivery, Mandiant

La tactique du "loup déguisé en agneau" fait de plus en plus d'adeptes : les cybercriminels maquillent leur présence et leur identité à l’aide d’outils disponibles dans le domaine publique et généralement utilisés par les Red Teams et lors de tests d’intrusion. Notre dernier rapport montre ainsi que 24 % des intrusions étudiées impliquent BEACON, le payload du simulateur de menaces Cobalt Strike. Les groupes incriminés sont notamment APT19, APT32, APT40, APT41, FIN6, FIN7, FIN9 et FIN11, ainsi que près de 300 clusters non identifiés. » – Charles Carmakal, Vice-président senior et CTO, Mandiant

Ressources du rapport

À propos de Mandiant

Partie intégrante de FireEye, Mandiant base sa validation continue des systèmes de sécurité sur une CTI leader et des données issues directement de son expertise de première ligne. Les entreprises disposent ainsi des outils dont elles ont besoin pour augmenter l’efficacité de leur sécurité et réduire le risque opérationnel.

À propos de FireEye, Inc.

FireEye est spécialisée dans la cybersécurité axée sur la Cyber Threat Intelligence (CTI). Prolongement naturel et évolutif des opérations de sécurité des clients, la plateforme unique de FireEye combine des technologies de sécurité innovantes, une CTI d’envergure internationale et les services réputés de Mandiant Consulting. FireEye simplifie ainsi la cybersécurité et son administration, devenant un allié précieux des entreprises confrontées au casse-tête que représentent la prévention et la neutralisation des cyberattaques. FireEye compte plus de 9 900 clients dans 103 pays, dont plus de 50 % figurent au classement Forbes Global 2000.

© 2021 FireEye, Inc. Tous droits réservés. FireEye, Mandiant et M-Trends sont des marques déposées ou des marques commerciales de FireEye, Inc. aux États-Unis et dans d’autres pays. Tous les autres noms de marques, de produits ou de services sont ou peuvent être des marques commerciales ou de service de leurs détenteurs respectifs.

Contacts

Médias
[email protected]

Investisseurs
[email protected]