Décryptage des réponses aux incidents de sécurité

Top 3 des données à savoir

• Exfiltration des données à une vitesse alarmante

Dans 20% des incidents, les données sont volées en moins d’une heure 

• Impact des attaques assistées par l’IA

On observe l’ampleur des attaques assistées par l’IA, et l’évolution des boîtes à outils et des tactiques des acteurs menaçants

• Montée des cas de menaces internes

notamment de la part de la Corée du Nord (ce cas a triplé en 2024)

Les 8 tendances à retenir

L’Unit 42 de Palo Alto Networks identifie ainsi plusieurs grandes tendances à prendre en compte pour faire face aux menaces.

• Interruption opérationnelle intentionnelle

86 % des incidents impliquent une interruption des activités soulignant l’importance croissante accordée au sabotage plutôt qu’au vol de données.

• Déplacement rapide des attaquants

La rapidité des intrusions s’accélère, amplifiée par l’automatisation et la performance des outils de piratage : dans 25 % des cas, les attaquants ont exfiltré des données dans les 5 heures (taux 3 fois plus rapide qu’en 2021)

• Détection & Réponse

Le temps médian d’exposition (temps pendant lequel les attaquants restent non détectés) s’établit à 7 jours en 2024, contre 13 jours en 2023 et 26,5 jours en 2021

• Exfiltration de données vers le cloud

Dans 45% des cas, des données volées sont transférées vers le stockage cloud, ce qui rend plus difficile leur suivi et leur arrêt. Les attaques sur la chaîne d’approvisionnement logicielle et le cloud augmentent en fréquence et en sophistication

• Attaques multi-vectorielles

70% des incidents ciblent trois surfaces d’attaque ou plus, obligeant les équipes de sécurité à défendre les terminaux, les réseaux, les environnements cloud et le facteur humain simultanément

• Phishing

23 % des attaques ont commencé par du phishing, la GenAI rend les campagnes de phishing évolutives, plus difficiles à détecter et à contrer

• Navigateurs Web

44 % des incidents impliquent une activité malveillante lancée ou facilitée par les navigateurs des employés via l’hameçonnage, les redirections malveillantes et les téléchargements de logiciels malveillants

• Attaques cloud

29 % des cyber-incidents proviennent d’environnements cloud, et 21 % causent des dommages opérationnels à des environnements ou des actifs cloud.

Pourquoi les cyberattaques réussissent ?

Les attaques réussissent en raison de trois facteurs : complexité, manque de visibilité et confiance excessive.

• La complexité

Les organisations utilisent plus de 50 outils de sécurité et beaucoup ne parviennent pas à les intégrer, créant des silos et un manque de visibilité : 75 % des incidents contiennent des preuves dans les journaux, mais les silos empêchaient la détection.

• Le manque de visibilité

Les actifs non gérés et le manque de surveillance en temps réel donnent aux attaquants une marge de manœuvre : 40% des incidents proviennent de problèmes liés aux outils de sécurité et la gestion. 

• La confiance excessive

Les comptes trop permissifs et les contrôles d’accès faibles permettent un mouvement latéral facile : 41 % ont exploité des privilèges excessifs, permettant des mouvements latéraux et une escalade des privilèges

Source:  Rapport annuel mondial sur la réponse aux incidents – Unité 42 Palo Alto Networks – 38 pays – Principales industries.