Le rapport de Fortinet sur les principales menaces souligne une baisse de la visibilité et du contrôle au sein des infrastructures multisites, alors que les vecteurs d’attaque sont plus nombreux

L’étude révèle qu’une automatisation forte de l’arsenal de cyberdéfense est essentielle pour neutraliser les nombreuses attaques utilisant les infrastructures “Cybercrime-as-a-Service”

Paris, France - Jun 6, 2017


Phil Quade, chief information security officer, Fortinet

«Au cours de l’année passée, de nombreux incidents de cybersécurité ont fait la une des médias et sensibilisé le grand public sur la manipulation de TV et téléphones pour empêcher l’accès à Internet à des tiers. Ces événements illustrent également à quel point les ransomware sont capables de perturber des services vitaux de soins de santé. Mais cette prise de conscience ne suffit pas à elle seule. Alors que les entreprises adoptent des technologies pratiques et sources d’économies, à l’image des services cloud, ou qu’elles connectent davantage de dispositifs intelligents à leur réseau, elles perdent en visibilité et en contrôle sur leur sécurité. De leur côté, les assaillants investissent dans leurs propres outils qu’ils réutilisent à souhait. Les stratégies de cybersécurité doivent capitaliser sur la segmentation des réseaux et sur un haut niveau d’automatisation, pour prévenir et détecter les exactions d’adversaires prompts à cibler les nouvelles vulnérabilités de nos entreprises et gouvernements.» 

L’essentiel:

Fortinet® (NASDAQ: FTNT),  le leader mondial des solutions de cybersecurité hautesperformances, annonce la publication de son tout dernier Global Threat Landscape Report. Cette étude couvre tous les volets de la cybersecurité, et se focalise sur 3 aspects essentiels de l’univers des menaces : les exploits applicatifs, les logiciels malveillants et les botnets, ces derniers étant analysés à l’aune des principales tendances du secteur et des technologies d’entreprise. L’étude montre ainsi la prévalence d’attaques d’envergure et note que la majorité des menaces subies par les organisations sont de nature opportuniste. Ces menaces sont, par ailleurs, encouragées par une infrastructure omniprésente de type Crime-as-a-Service. Rendezvous sur notre blog pour le détail des résultats et une synthèse décisionnelle à l’intention des DSI. Voici les trois temps forts des résultats de cette étude :  

 1) Les outils d’attaques n’ont pas la mémoire courte et sont toujours prêts à être utilisés

Les outils modernes et les infrastructures Crime-as-a-Service permettent aux assaillants d’opérer mondialement et de manière ultrarapide. Internet s’affranchit des distances géographiques et des frontières, les principales tendances en matière de menaces semblant davantage mondiales que propres à une région précise. Les assaillants sont à l’œuvre en permanence et cherchent à jouer la carte de la surprise, et ce, à l’échelle internationale. 

La meilleure des parades contre le prochain WannaCry est de bien comprendre les tendances en matière d’exploits et le fonctionnement des ransomware. WannaCry et ses variantes constituent des exemples types de ransomware, capables de piéger des centaines d’organisations de manière simultanée et à l’échelle planétaire. 

  • Ransomware: les organisations sont un peu moins de 10% à avoir détecté une activité associée à un ransomware. Chaque jour, 1,2% de ces organisations, en moyenne, doivent faire face à des botnets de ransomware au sein de leur environnement. L’activité malveillante est la plus intense pendant le week-end, les assaillants ayant sans doute l’espoir d’injecter un malware à un moment où les équipes de sécurité sont moins nombreuses au travail. Le volume moyen du trafic associé à des botnets de ransomware augmente, ce qui explique que les entreprises sont plus nombreuses à être impactées.  
  • Tendances au niveau des exploits: 80% des organisations font état d’exploits de sévérité haute ou critique contre leurs systèmes. Ces vulnérabilités, dans leur majorité, ont été rendues publiques au cours de ces cinq dernières années, ce qui n’empêche guère nombre de tentatives d’exploit de vouloir tirer parti de CVE publiées avant 2000. Les exploits impactent toutes les régions géographiques de manière similaire, sans doute à cause d’un niveau d’automatisation rendu possible par des outils qui scannent méthodiquement Internet à la recherche d’opportunités. 

 2) Hyperconvergence et Internet des Objets accélèrent la progression des malware 

Alors que les réseaux et utilisateurs partagent toujours davantage leurs informations et ressources, les attaques progressent rapidement sur différentes zones géographiques et secteurs d’activité. Il s’agit d’étudier les malware dans le détail pour mieux comprendre les phases de préparation et d’intrusion des attaques qui les utilisent. D’autre part, la protection contre les malware mobiles est un vrai défi : en effet, les dispositifs mobiles ne sont pas toujours protégés sur les réseaux internes, ils se connectent souvent à des réseaux publics et ils ne sont pas toujours contrôlés par l’entreprise.

  • Malware mobile : la prévalence des malware mobiles est restée stable entre le quatrième trimestre 2016 et le premier trimestre 2017, avec environ 20% des entreprises qui en ont détecté au moins un. Les malware Android sont plus nombreux dans le top 10 de ce trimestre, en volume comme en prévalence. Les malware mobiles représentaient 8,7% de tous les malware contre 1,7% au trimestre précédent. 
  • Prévalence régionale: la prévalence des malware mobiles a progressé dans toutes les régions, sauf au Moyen-Orient. Leur taux de croissance est statistiquement significatif et ne peut être considéré comme une variation aléatoire. Les malware Android présentent des tendances géographiques plus marquées, par rapport aux autres profils de menaces mobiles. 

3) Une plus faible visibilité sur les infrastructures multisites et élastiques

Les tendances sur les menaces reflètent l’environnement dans lequel elles émergent. Il devient essentiel de comprendre comment les technologies, les services, les fonctions de contrôle et les comportements varient dans le temps, pour ainsi s’offrir une fenêtre de visibilité plus large sur les règles de sécurité et modèles de gouvernance, et donc un moyen de surveiller l’évolution des exploits, malware et botnets, dans un contexte où les réseaux gagnent en complexité et s’étendent à de nouveaux sites.  

La visibilité et le contrôle sur les infrastructures actuelles s’amenuisent face à de nouveaux  vecteurs d’attaque potentiels sur un réseau en expansion. L’adoption accélérée des solutions de cloud public et privés, la croissance de l’Internet des Objets, la diversité et le volume des objets connectés au réseau, et les nouveaux risques associés à des tendances de fond comme le Shadow IT, sont autant de défis à relever pour les professionnels de la sécurité.  

  • Trafic chiffré: la valeur médiane du trafic HTTPS par rapport au trafic HTTP a atteint un chiffre record de près de 55%. Bien que nécessaire à la confidentialité des données, HTTPS ne facilite pas la détection et la surveillance des menaces. Les outils de défense sont encore trop nombreux à ne disposer que d’une faible visibilité au cœur des communications chiffrées. Les organisations, notamment celles dont les valeurs HTTPS sont plus élevées – sont susceptibles de faire face à des menaces qui se dissimulent au sein d’un trafic chiffré sous HTTPS. 
  • Applications: le nombre médian d’applications cloud utilisées par organisation ressort à 32, soit environ le tiers de toutes les applications détectées, avec un nombre d’applications IaaS qui atteint un record. Pour nombre d’organisations, la visibilité sur les données baisse de manière importante lorsque les applications migrent vers le cloud. De plus, les données stockées au sein de ces applications et services restent sur une tendance haussière, ce qui constitue une tendance problématique pour leur sécurité. 
  • Secteurs d’activité: l’analyse verticale montre une surface d’attaque équivalente sur l’ensemble des secteurs, à quelques exceptions près (secteurs de l’enseignement et des opérateurs télécoms notamment). Les assaillants sont donc susceptibles d’utiliser des vecteurs d’attaque similaires d’un secteur à un autre, ce qui est d’autant plus simple grâce aux outils automatisés. 

Méthodologie

Le Fortinet Global Threat Landscape, rapport trimestriel issu des travaux de veille de FortiGuard Labs, capitalise sur un large panel de capteurs et de dispositifs réseau disséminés au sein d’environnements de production. L’étude offre différentes perspectives : mondiale, régionale, par secteur d’activité et par type d’organisation. Elle se penche sur trois volets essentiels et complémentaires de l’univers des menaces : les exploits applicatifs, les logiciels malveillants et les botnets. Fortinet publie également son rapport Threat Intelligence Brief, gratuitement et après abonnement, qui passe en revue les malware, virus et menaces web découverts chaque semaine, ainsi que des liens vers les études et travaux les plus pertinents des chercheurs de Fortinet.

Ressources complémentaires 

About Fortinet

Fortinet (NASDAQ: FTNT) secures the largest enterprise, service provider, and government organizations around the world. Fortinet empowers its customers with intelligent, seamless protection across the expanding attack surface and the power to take on ever-increasing performance requirements of the borderless network - today and into the future. Only the Fortinet Security Fabric architecture can deliver security without compromise to address the most critical security challenges, whether in networked, application, cloud, or mobile environments. Fortinet ranks #1 in the most security appliances shipped worldwide and more than 300,000 customers trust Fortinet to protect their businesses. Learn more at https://www.fortinet.com, the Fortinet Blog, or FortiGuard Labs.

Copyright © 2017 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and unregistered trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet's trademarks include, but are not limited to, the following: Fortinet, FortiGate, FortiGuard, FortiManager, FortiMail, FortiClient, FortiCloud, FortiCare, FortiAnalyzer, FortiReporter, FortiOS, FortiASIC, FortiWiFi, FortiSwitch, FortiVoIP, FortiBIOS, FortiLog, FortiResponse, FortiCarrier, FortiScan, FortiAP, FortiDB, FortiVoice and FortiWeb. Other trademarks belong to their respective owners. Fortinet has not independently verified statements or certifications herein attributed to third parties and Fortinet does not independently endorse such statements. Notwithstanding anything to the contrary herein, nothing herein constitutes a warranty, guarantee, binding specification or other binding commitment by Fortinet, and performance and other specification information herein may be unique to certain environments. This news release contains forward-looking statements that involve uncertainties and assumptions, such as statements regarding technology releases. Changes of circumstances, product release delays, or other risks as stated in our filings with the Securities and Exchange Commission, located at www.sec.gov, may cause results to differ materially from those expressed or implied in this press release. If the uncertainties materialize or the assumptions prove incorrect, results may differ materially from those expressed or implied by such forward-looking statements and assumptions. All statements other than statements of historical fact are statements that could be deemed forward-looking statements. Fortinet assumes no obligation to update any forward-looking statements, and expressly disclaims any obligation to update these forward-looking statements.