La gestion de la surface d’attaque pose des problèmes à la plupart des entreprises, sans même qu’elles en soient conscientes, faute de visibilité complète sur les diverses ressources IT et leurs responsables. Ces risques ignorés sont essentiellement imputables aux services d’accès à distance, qui représentent près d’un problème sur cinq décelés sur Internet. Les défenseurs doivent constamment faire preuve de vigilance, puisqu’à chaque modification de configuration, nouvelle instance cloud ou identification de vulnérabilité, c’est une nouvelle course contre les assaillants qui s’amorce.

Quelles sont les conclusions importantes de ce rapport ?

Les évolutions incessantes dans le cloud engendrent de nouveaux risques.
• L’infrastructure IT basée dans le cloud fluctue sans cesse. Chaque mois, 20 % en moyenne de la surface d’attaque dans le cloud d’une entreprise est mise hors ligne pour être remplacée par de nouveaux services ou des mises à jour.
• Le déploiement de ces nouveaux services est généralement la cause de près de la moitié des expositions élevées ou critiques dans le cloud chaque mois.
Les expositions imputables aux accès distants sont largement répandues.
• Dans plus de 85 % des entreprises sondées, le protocole RDP (Remote Desktop Protocol) est accessible depuis Internet au moins un jour sur quatre en moyenne par mois, les rendant sujettes aux attaques par rançongiciels ou aux tentatives de connexion non autorisées.

Le cloud constitue la surface d’attaque dominante.
• Dès lors que le cloud devient le principal environnement de travail, 80 % des risques encourus le sont dans le cloud et non sur site. Pas moins de 80 % des expositions aux risques de gravité moyenne, élevée ou critique concernant les entreprises sondées ont été observées sur des ressources hébergées dans le cloud.

Les assaillants progressent à la vitesse de l’automatisation
• Aujourd’hui, les assaillants sont en mesure de balayer intégralement en quelques minutes l’espace d’adressage IPv4, à la recherche de cibles vulnérables.
• Sur les 30 vulnérabilités et expositions courantes (CVE) analysées, trois ont été exploitées dans les heures qui ont suivi l’information du public et 63 % dans les 12 semaines suivantes.
• Sur les 15 vulnérabilités RCE (Remote Code Execution) autorisant l’exécution de code à distance analysées par l’Unit 42, 20 % ont été la cible de gangs de ransomwares dans les heures qui ont suivi l’information du public, et 40 % des vulnérabilités ont été exploitées sous huit semaines après leur publication.
Le cloud constitue la surface d’attaque dominante.
• 80 % des risques de sécurité encourus sont présents dans les environnements cloud, contre 19 % dans ceux sur site.
• L’infrastructure IT basée dans le cloud fluctue sans cesse, affichant un taux de transformation supérieur à 20 % chaque mois, tous secteurs confondus.
• Près de 50 % des probabilités de risques élevés dans le cloud découlent chaque mois de la constante rotation des services hébergés en mode cloud, entre les nouveaux qui sont mis en ligne et/ou les anciens qui sont remplacés.
• Plus de 75 % des vulnérabilités inhérentes aux infrastructures de développement applicatif, librement accessibles, ont été mises au jour dans le cloud, faisant d’elles des cibles intéressantes pour les assaillants.
Les expositions imputables aux accès distants sont largement répandues.
• Dans plus de 85 % des entreprises sondées, le protocole RDP (Remote Desktop Protocol) est accessible depuis Internet durant un jour sur quatre minimum par mois, les rendant sujettes aux attaques par rançongiciels ou aux tentatives de connexion non autorisées.
• Huit des neuf secteurs d’activité étudiés par l’Unit 42 présentaient un service RDP accessible par Internet, vulnérable aux attaques par force brute durant 25 % du mois au moins.
• Les services financiers et les administrations nationales et infranationales ont été exposés à des risques imputables au protocole RDP durant le mois complet.
Les secteurs stratégiques ne sont pas à l’abri
• Pour les établissements financiers, le risque pèse sur les services de partage de fichiers (38 %). Toute compromission de ces dépositaires de données personnelles et financières pourrait entraîner des pertes monétaires substantielles, usurpations d’identité, fraudes et une perte de confiance de la clientèle probablement irréparable.
• Pour les États, l’absence de sécurisation du partage de fichiers et des bases de données représente l’un des risques majeurs en termes de surface d’attaque, représentant plus de 46 % de l’ensemble des risques encourus par une administration nationale type.
• Dans le secteur de la santé, 56 % des environnements de développement exposés sont souvent mal configurés et vulnérables, donnant ainsi aux assaillants un point d’appui sur le réseau de l’entreprise.
• Dans le secteur des services collectifs et de l’énergie, les tableaux de bord accessibles via Internet proposés par les infrastructures IT représentent près d’un risque encouru sur deux (47 %).
• Les infrastructures IT, de sécurité et réseau constituent les principaux facteurs d’exposition aux risques (48 %) dans l’industrie, susceptibles d’occasionner des perturbations opérationnelles significatives se soldant par une perte de production et un manque à gagner.

Méthodologie
• L’Unit 42 et la plateforme Cortex Xpanse ont collecté plusieurs pétaoctets d’informations sur les risques encourus par 250 entreprises en raison de vulnérabilités accessibles sur Internet, en 2022 et 2023.
• Si l’Unit 42 s’est servie de ces données pour analyser les problématiques associées à ces probabilités de risques, son équipe de chercheurs s’est focalisée sur les six derniers mois de l’année 2022 pour étudier la nature du changement des services cloud et les risques engendrés au sein d’une entreprise lambda, tous secteurs d’activité confondus — une période de six mois générant des données en nombre suffisant pour les calculs.
• Pour chaque catégorie sectorielle, l’équipe de chercheurs s’est appuyée sur les données d’au moins cinq grandes entreprises opérant dans le secteur en question. Cortex Xpanse a servi à les répartir dans un système sur site ou dans le cloud, en fonction de divers facteurs.
• L’équipe de chercheurs a mis à profit un modèle de machine learning pour opérer une attribution précise des ressources aux différentes structures. Ce modèle a été supervisé par une équipe d’analystes de la surface d’attaque qui prennent en charge Cortex Xpanse.
• Pour établir la chronologie de l’attaque, l’équipe de chercheurs a associé nos données à des données tierces afin d’analyser le « temps écoulé avant l’attaque ». Les jeux de données utilisés à cet effet concernent la période allant du 31 mars 2022 au 31 mars 2023.
• L’équipe de chercheurs a uniquement pris en compte les risques pour lesquels il était possible d’extrapoler le produit, l’éditeur ou le nommage CPE(Common Platform Enumeration), et les points de données étaient concordantes entre la source de fingerprinting et la source des données de vulnérabilités.
• Pour définir la tranche médiane de l’analyse, l’équipe de chercheurs a utilisé une valeur médiane sur 10 jours glissants, éliminant ainsi les valeurs aberrantes de nos observations concernant les équipements VPN.
• Pour lever toute ambiguïté entre les ressources cloud et les ressources sur site, les ressources sur site d’une entreprise désignent les systèmes et services librement accessibles que détient celle-ci auxquels sont attribués des adresses IP statiques, et les ressources cloud correspondent aux systèmes et services librement accessibles qu’elle loue au sein d’un espace d’adressage IP dynamique, excluant les services multilocataires en mode SaaS.