Skip to main content
Connexion
Démarrer un essai gratuitContacter le service commercial

Orienter votre organisation grâce au Rapport 2024 sur les menaces mondiales d'Elastic

Par

Mandy Andress

158175_-_Blog_header_image_Prancheta_1-03_(2).jpg

La gestion des risques en fonction de l'évolution des menaces est un défi majeur pour un CISO. Les rapports sur les menaces, comme le Rapport 2024 sur les menaces mondiales d'Elastic, sont donc indispensables. Ils me permettent non seulement de comprendre en profondeur les risques émergents, mais aussi de communiquer efficacement les informations essentielles au reste de l'organisation. 

En tant que CISO, j'ai souvent eu l'occasion de traduire les menaces pour les responsables de la sécurité, les autres membres de la direction et même le conseil d'administration, tout comme le CISO d'Elastic. Dans ce blog, nous examinerons les principaux résultats du nouveau rapport d'Elastic Security Labs et discuterons des implications potentielles pour votre organisation.

Principales conclusions du Rapport 2024 sur les menaces mondiales d'Elastic

Outils de sécurité offensifs

Selon le rapport 2024, 54 % des malwares détectés étaient associés à des outils de sécurité offensive (OST), ces derniers étant destinés à tester et identifier les vulnérabilités des environnements. Ces outils sont développés par des personnes et des organisations spécialisées dans la défense, certaines bénéficiant de budgets alloués à la recherche et au développement. Ces outils attirent particulièrement les cybercriminels par leur simplicité d'utilisation et leur efficacité dans la réalisation de leurs opérations malveillantes.  

Mon analyse : Cobalt Strike demeure le logiciel malveillant le plus répandu depuis plusieurs années, et les acteurs malveillants continuent de le privilégier. Une bonne préparation est la clé pour s'en prémunir. 

Comment aborder ce sujet avec mon organisation ?Point d'attention : Nous ne devrions pas utiliser d'outils de sécurité offensive (OST) car ils sont détournés par les acteurs malveillants. 

Point de clarification : L'intégration d'un OST dans votre environnement ne renforce aucunement le risque d'attaque. Ces outils offrent une visibilité précieuse sur votre écosystème de sécurité et sont essentiels pour les simulations, notamment le red teaming et les tests de pénétration. L'actualisation constante de nos défenses constitue notre meilleure préparation face à ces menaces.

Erreurs de configuration de la sécurité du cloud

Nos chercheurs ont constaté que la configuration de nombreux environnements cloud présentait des vulnérabilités. L'analyse par fournisseur de services cloud (CSP) présentée dans le rapport dévoile des vulnérabilités de configuration préoccupantes, notamment liées aux comptes de stockage et aux systèmes d'authentification multifactorielle (MFA).

Mon analyse : Les fournisseurs cloud sont tenus d'équilibrer convivialité et sécurité dans leurs politiques par défaut, tout en assurant une optimisation des coûts et des performances de l'environnement cloud. Visez l'équilibre optimal entre les capacités de votre équipe et les priorités suggérées par les indicateurs sectoriels et les rapports de référence. 

Comment puis-je aborder ce problème avec mon organisation ?
Préoccupation : Comment pouvons-nous nous assurer que nous utilisons les meilleures pratiques de sécurité et minimisons les risques au sein de notre environnement cloud ?

Point de clarification : Tout en encourageant les CSP à sécuriser davantage leurs paramètres par défaut, rappelons que leurs référentiels sont établis pour maîtriser la complexité inhérente à la sécurité cloud. L'essentiel est d'évaluer votre niveau de conformité CIS et de planifier son amélioration.

Évasion par la défense

Au niveau des points de terminaison, l'évasion par la défense a représenté près de 38 % de toutes les tactiques. L'analyse de la répartition des alertes révèle une progression des techniques d'injection de processus, qui constituent 53 % des alertes liées à l'évasion par la défense sur Windows. 

Mon analyse : La montée en puissance de l'injection de processus est une conséquence naturelle du perfectionnement des technologies défensives face aux techniques traditionnelles, obligeant les attaquants à réorienter leur approche.

Comment aborder ce sujet avec mon organisation ?
Point d'attention :Nous devons nous concentrer sur l'optimisation de notre environnement face aux attaques par injection de processus. 

Point de clarification : Si ces techniques gagnent en importance, leur progression ne présage en rien l'abandon d'autres méthodes d'attaque. Les équipes de sécurité doivent rester vigilantes et continuer d'optimiser leur environnement pour faire face à tous types de menaces.

Compromission d'identifiants

L'accès aux identifiants constitue la principale tactique adverse dans les environnements cloud, représentant 23 % des alertes, et se trouve renforcé par la multiplication des voleurs d'informations. 

Mon analyse : Dans l'environnement cloud, la compromission d'identifiants et la manipulation de comptes restent les techniques privilégiées, soulignant l'importance capitale des mesures essentielles. Le déploiement du principe du moindre privilège et d'une authentification renforcée s'avère déterminant. La réduction optimale des risques liés aux identifiants repose sur un double dispositif de prévention et de surveillance — les équipes de sécurité doivent impérativement cartographier leurs secrets et identifiants, et en maîtriser l'usage.

Comment aborder ce sujet avec mon organisation ?
Point d'attention : Les utilisateurs sont la principale source de fuites d'identifiants. 

Point de clarification : Les identifiants constituent un capital stratégique exigeant une protection adaptée — au-delà de la simple formation à la sécurité. L'application du moindre privilège combinée à une MFA résistante au phishing et aux solutions IdP permet de réduire la surface d'exposition. Les organisations peuvent optimiser leur protection en déployant des analyses comportementales (UEBA) et des systèmes de surveillance des authentifications pour repérer toute activité suspecte.

IA générative

Si l'IA fait la une de l'actualité, Elastic Security Labs n'a relevé qu'une faible croissance des cyberattaques utilisant cette technologie, et non l'explosion redoutée. 

Mon analyse : Mon équipe exploite pleinement les capacités novatrices d'IA générative (GenAI) d'Elastic. Notre utilisation intensive des règles de détection par apprentissage automatique et de Attack Discovery a démultiplié notre capacité à automatiser nos processus de sécurité, tout en garantissant sérénité et confiance à l'ensemble de l'équipe. 

Comment aborder ce sujet avec mon organisation ?
Point d'attention : L'IA générative profite aux attaquants. 

Point de clarification : L'IA générative a manifestement transformé positivement le travail des défenseurs, leur permettant d'affronter les menaces grâce à des analyses perfectionnées et d'accéder à des conseils IA pertinents et immédiats.

Gardez une longueur d'avance sur les menaces

En tant qu'experts de la sécurité, nous nous devons de maintenir une veille constante sur l'évolution des menaces. La consultation du Rapport 2024 sur les menaces mondiales d'Elastic enrichira significativement les connaissances de vos équipes de cybersécurité. 

Au-delà de l'éclairage qu'il apporte sur les tendances émergentes, ce rapport nous fournit les clés pour façonner nos stratégies de sécurité en toute connaissance de cause. Retrouvez nos chercheurs pour une exploration détaillée de ces analyses lors du prochain webinaire, « État des lieux du paysage des menaces ».

La publication et la date de publication de toute fonctionnalité ou fonction décrite dans le présent article restent à la seule discrétion d'Elastic. Toute fonctionnalité ou fonction qui n'est actuellement pas disponible peut ne pas être livrée à temps ou ne pas être livrée du tout.

Dans cet article, nous sommes susceptibles d'avoir utilisé ou mentionné des outils d'intelligence artificielle générative tiers appartenant à leurs propriétaires respectifs qui en assurent aussi le fonctionnement. Elastic n'a aucun contrôle sur les outils tiers et n'est en aucun cas responsable de leur contenu, de leur fonctionnement, de leur utilisation, ni de toute perte ou de tout dommage susceptible de survenir à cause de l'utilisation de tels outils. Lorsque vous utilisez des outils d'IA avec des informations personnelles, sensibles ou confidentielles, veuillez faire preuve de prudence. Toute donnée que vous saisissez dans ces solutions peut être utilisée pour l'entraînement de l'IA ou à d'autres fins. Vous n'avez aucune garantie que la sécurisation ou la confidentialité des informations renseignées sera assurée. Vous devriez vous familiariser avec les pratiques en matière de protection des données personnelles et les conditions d'utilisation de tout outil d'intelligence artificielle générative avant de l'utiliser. 

Elastic, Elasticsearch, ESRE, Elasticsearch Relevance Engine et les marques associées sont des marques commerciales, des logos ou des marques déposées d'Elasticsearch N.V. aux États-Unis et dans d'autres pays. Tous les autres noms de produits et d'entreprises sont des marques commerciales, des logos ou des marques déposées appartenant à leurs propriétaires respectifs.

Sign up for Elastic Cloud free trial

Spin up a fully loaded deployment on the cloud provider you choose. As the company behind Elasticsearch, we bring our features and support to your Elastic clusters in the cloud.

Start free trial