Les secteurs de la santé, des services financiers, des entreprises manufacturières, des logiciels en tant que service et des fournisseurs de logiciels sont les secteurs qui sont le plus souvent les destinataires involontaires des campagnes malveillantes actuelles.
Tous les domaines de l’économie et de la société subissent des changements fondamentaux. La mission à long terme de transformation numérique s’accompagne de défis actuels tels que la pandémie et ses conséquences ainsi que la guerre en Ukraine. Les hommes politiques réagissent aux situations à risque accru en adoptant de nouvelles directives informatiques plus strictes pour un cercle élargi de personnes concernées.
Même si les entreprises de tous secteurs et de toutes tailles connaissent actuellement une forte augmentation des attaques de pirates informatiques, les cybercriminels ont des intentions différentes derrière ces incidents. La publication ou le partage illégal d'informations provoque des désagréments majeurs pour tous les groupes cibles, mais ces incidents frappent le plus durement les secteurs de la finance et de la santé. Le large éventail d’attaques informatiques visant d’autres intentions vise actuellement principalement les fournisseurs de SaaS/logiciels, suivis par le secteur financier, les entreprises manufacturières et les soins de santé.
Secteur cible 1 : Santé
Les hôpitaux, les compagnies d'assurance maladie et autres organismes de santé s'appuient de plus en plus sur les services de plateforme pour partager et gérer les données des patients et d'autres informations importantes. Les exigences de rationalisation et de transformation numérique qui se sont accélérées en raison de la pandémie ou des initiatives telles que le dossier électronique du patient accroissent l’envie de numériser les processus depuis l’échange de données jusqu’à la prise de rendez-vous ou même d’avis de maladie. En outre, le nombre de points de terminaison augmente, par exemple dans le cloud ou via l'Internet des objets.
Le nombre croissant de systèmes, d’applications et d’utilisateurs élargit la surface d’attaque. Une attaque contre un fournisseur de services informatiques tel que Bitmark suffit à elle seule à affecter massivement les opérations d’un hôpital. Les cliniques sont également des cibles lucratives pour les attaques de chantage, car elles ne peuvent tolérer les temps d'arrêt ou la perte de données dans l'intérêt de la santé des patients ou même en raison du risque pour leur vie. Les législateurs renforcent ou étendent également leurs initiatives de conformité. Les fabricants de dispositifs médicaux sont désormais également concernés par les nouvelles exigences NIS 2. Les délais de grâce pour se conformer au RGPD sont révolus depuis longtemps : le délégué à la protection des données de Hambourg a infligé une amende de 2022 105.000 euros vers XNUMX pour l'envoi répété de lettres médicales incorrectes et une fonction de protocole manquante pour l'accès aux données des patients.
Secteur cible 2 : Prestataires de services financiers
Le client d'une banque numérisée d'aujourd'hui, qui attend la même simplicité de ses transactions bancaires sur son smartphone qu'avec une commande Amazon et en même temps la sécurité d'un coffre-fort bancaire ou la confidentialité d'une conversation personnelle en agence, est le risque qui change tout. facteur dans l’eBanking. La cible est soit les établissements de crédit eux-mêmes, soit, dans la même mesure, des prestataires de services spécifiques tels que le partenaire de changement de compte de Deutsche Bank, Postbank ou ING ou la filiale de caisse d'épargne Deutsche Leasing. Les attaquants appliquent des méthodes générales spécifiques au secteur, telles que les ransomwares ou les attaques BEC (Business Email Compromise) à l'établissement de crédit ciblé : les cybercriminels se font passer pour des dirigeants ou d'autres personnes de haut rang afin d'inciter les employés à transférer des fonds ou à divulguer des informations confidentielles.
Les prestataires de services financiers sont donc également soumis à diverses pressions réglementaires : outre la loi sur le secret bancaire et la lutte contre le blanchiment d'argent, la norme PCI-DSS pour les cartes de crédit et les normes classiques du secteur, le Digital Operational Resilience Act (DORA), qui en vigueur depuis janvier pour les sociétés financières et leurs prestataires informatiques, impose entre autres de surveiller les comportements anormaux. Cela nécessite une visibilité des systèmes, des processus et du trafic de données dans l'infrastructure informatique au-delà du point de terminaison classique.
Secteur cible 3 : Entreprise manufacturière
Les systèmes et processus numérisés, automatisés et de plus en plus basés sur le cloud dans la production et la chaîne d'approvisionnement élargissent la surface d'attaque. Le secteur manufacturier est une cible clé pour les cyber-espions soutenus par le gouvernement qui cherchent à perturber les infrastructures critiques et à voler la propriété intellectuelle. Rheinmetall a réussi à repousser ce que l'on croyait être une attaque russe. Les intérêts économiques ont été le moteur de l'attaque contre le fournisseur de pièces détachées automobiles Bilstein Group, exemple d'une industrie automobile sous pression. Une cybersécurité inadéquate, des appareils vulnérables et des systèmes mal configurés sont des facteurs de risque pour des scénarios d'attaque bien connus, qui commencent généralement par une attaque de phishing. Il n'est pas surprenant qu'en plus de la norme industrielle ISO 27001, d'autres réglementations prévoient de nouveaux devoirs informatiques. NIS 2 devient pertinent pour de plus en plus d'entreprises industrielles après que le législateur a encore élargi le cercle des entreprises « importantes » ou « essentielles » concernées et inclut désormais également les petites entreprises de 50 salariés ou plus.
Industrie cible 4 : SaaS et logiciels
Les fournisseurs de logiciels en tant que service et les fabricants de logiciels stimulent la transformation numérique. En tant qu’adopteurs précoces des nouvelles technologies, ils sont les plus exposés. Le désir intrinsèquement positif d’innover peut exposer ces entreprises à de nouvelles menaces que les personnes impliquées ne comprennent peut-être pas encore pleinement.
En tant que point de départ d'attaques en cascade de grande envergure, la chaîne d'approvisionnement en logiciels constitue une passerelle à fort effet de propagation pour des attaques opportunistes, initialement automatiques. En fin de compte, les clients peuvent bloquer les produits gravement concernés sur lesquels ils comptent. Dans le cas de l’attaque contre le fournisseur d’applications de visioconférence 3CX en avril 2023, les attaquants savaient qu’ils pouvaient compromettre des milliers d’autres entreprises avec une seule attaque.
Cette jeune industrie, qui compte une forte proportion de start-up, souffre également plus souvent d'un manque de ressources, d'un manque de travailleurs qualifiés en cybersécurité et de budgets informatiques serrés. Elle doit encore faire face à la tâche de la cybersécurité, car les investisseurs observent les efforts des candidats à l'investissement dans ce domaine lorsqu'ils prennent leurs décisions concernant l'investissement en capital-risque, l'achat ou la reprise.
Protection informatique de base contre les attaquants généralistes
Seuls quelques pirates recherchent dès le départ des vulnérabilités spécifiques à un secteur ou envoient des e-mails de spear phishing à des destinataires soigneusement recherchés. La première ligne de défense dans chaque secteur doit donc être une protection informatique de pointe contre les attaquants opportunistes, qui recherchent automatiquement les vulnérabilités à l'aide de diverses méthodes.
La base d'une telle protection informatique de base est la vue complète en temps réel de tous les processus informatiques légitimes, mais aussi potentiellement anormaux. La surveillance de la sécurité doit couvrir l'ensemble de l'infrastructure, c'est-à-dire les points de terminaison informatiques classiques ainsi que le réseau lui-même, ainsi que les nœuds et plates-formes cloud, les appareils Internet des objets et, si disponibles, également les environnements OT.
Experts externes en sécurité contre les pirates ciblés
Cependant, chaque secteur nécessite également une connaissance du paysage actuel des attaques dans son secteur. Dans les campagnes opportunistes hybrides, après une analyse automatique de la vulnérabilité et un premier accès au réseau, seule la deuxième étape d'une attaque est plus spécifiquement adaptée au secteur et à la victime. Une fois que les attaquants ont accès, ils analysent les réseaux et adaptent leurs actions au secteur spécifique. Dans les secteurs de la santé et de la finance, par exemple, où les données sensibles jouent un rôle crucial, les attaquants se concentrent sur l’exfiltration des données qui génèrent les revenus les plus élevés ou pour lesquelles les entreprises sont les plus susceptibles de payer une rançon. D’un autre côté, l’environnement de production ininterrompu est souvent une cible privilégiée pour les attaques contre sa disponibilité : les attaquants pourraient y utiliser des ransomwares pour bloquer les systèmes et provoquer un arrêt de production coûteux.
La protection contre ces menaces ciblées nécessite des experts externes. Aucun administrateur informatique ne peut savoir qui attaque actuellement quelle application concurrente qu'une entreprise elle-même peut également utiliser. Les petites et moyennes entreprises en particulier ne disposent souvent pas des compétences et des experts nécessaires pour réagir à temps, et encore moins pour prévenir les attaquants.
SOC ou Managed Detection and Response peut vous aider
Seuls des services de sécurité puissants, par exemple un SOC externe ou un service géré de détection et de réponse (MDR) avec des analystes de sécurité externes, permettent de détecter de manière proactive les menaces spécifiques au secteur et de réagir rapidement en cas d'attaque. Un investissement coûteux dans des spécialistes informatiques internes supplémentaires, souvent indisponibles ou abordables, n'est donc pas nécessaire. De plus, la constitution d’une équipe et d’une infrastructure SOC internes peut prendre des mois, voire des années. Il s’agit d’une période inacceptable compte tenu des pressions réglementaires et environnementales croissantes. L'aide externe comprend également une cyber-assurance ou des conseils juridiques professionnels externes et une connaissance des paniers de financement actuels spécifiques au secteur, explique Jörg von der Heydt, directeur régional DACH chez Bitdefender.
Plus sur Bitdefender.com
À propos de Bitdefender Bitdefender est un leader mondial des solutions de cybersécurité et des logiciels antivirus, protégeant plus de 500 millions de systèmes dans plus de 150 pays. Depuis sa création en 2001, les innovations de l'entreprise ont régulièrement fourni d'excellents produits de sécurité et une protection intelligente pour les appareils, les réseaux et les services cloud pour les particuliers et les entreprises. En tant que fournisseur de choix, la technologie Bitdefender se trouve dans 38 % des solutions de sécurité déployées dans le monde et est approuvée et reconnue par les professionnels du secteur, les fabricants et les consommateurs. www.bitdefender.de