À bien des égards, l'année 2018 semble, selon le Global Threat Report 2019 , avoir été très différente de la précédente. Si certains événements très médiatisés observés en 2017 étaient absents en 2018, comme WannaCry et NotPetya, les gros titres ont été dominés par une série d'actes d'accusation du Ministère de la Justice des États-Unis à l'encontre d'individus liés à des cybercriminels identifiés à la solde d'États. En raison peut être de ces révélations publiques, les activités continues de développement d'outils et les changements opérés dans les techniques, tactiques et procédures (TTP) font apparaître l'année 2018 comme une année de transition pour de nombreux cybercriminels.
Les cybercriminels à la solde d'États ont ciblé des dissidents, des adversaires régionaux et des puissances étrangères en vue de recueillir des renseignements à l'intention des décideurs : La Corée du Nord est restée active dans le domaine de la collecte de cyberveille et de la production de devises. L'Iran a continué de se concentrer sur ses opérations à l'encontre d'autres pays du Moyen-Orient et d'Afrique du Nord en particulier ses ennemis régionaux au sein du Conseil de coopération du Golfe (CCG). Des cybercriminels iraniens sont en outre suspectés de développer de nouveaux logiciels malveillants sur mobiles afin de cibler les dissidents et les groupes ethniques minoritaires. Quant à la Chine, CrowdStrike a observé une hausse significative des activités ciblant les États-Unis, probablement liée à l'accentuation des tensions entre les deux pays.
Parmi les opérations menées par ces cybercriminels, on recense la distribution de crimewares, de chevaux de Troie bancaires et de ransomwares, la compromission de points de vente et des campagnes de harponnage (spear phishing). La tendance la plus marquante en matière de cybercriminalité en 2018 a été la montée en puissance de la « chasse au gros gibier », qui combine TTP ciblées de type intrusion et déploiement de ransomwares au sein de grandes entreprises dans le but d'obtenir des gains financiers conséquents. Autre preuve de l'évolution de l'écosystème de la cybercriminalité : l'activité prolifique du ransomware en tant que service (RaaS)
L'an dernier, le Global Threat Report avait mis en lumière un nouvel indicateur important : le « temps de propagation », qui mesure la rapidité avec laquelle les cybercriminels opèrent un déplacement latéral dans l'environnement de leur victime suite à la brèche initiale. Le temps de propagation moyen global observé par CrowdStrike en 2018 pour la totalité des brèches et des cybercriminels était de 4 heures 37 minutes. Cette statistique ne donne toutefois qu'une image incomplète de la situation. En effet, Le temps de propagation n'est évidemment pas le seul indicateur permettant de juger le degré de sophistication des cybercriminels, mais il constitue un moyen intéressant d'évaluer leurs capacités opérationnelles. Il est également utile pour les professionnels de la sécurité désireux d'évaluer leurs temps moyens de détection, d'investigation et de réparation (connus collectivement sous le nom de « règle 1-10- 60 »).
Cette nouvelle règle de trois doit devenir la référence en matière de cybersécurité. Grâce aux solutions EDR de nouvelle génération de CrowdStrike, les entreprises bénéficient désormais d’une très grande vélocité qui leur permet de détecter une intrusion en moins d’une minute (1), d’effectuer une enquête complète en moins de dix minutes (10) et d’expulser un ennemi du système en moins d’une heure (60). Ainsi, les entreprises qui l’appliquent pourront repousser un adversaire avant qu’il ne quitte son point d’entrée initial et ne commence à se déplacer latéralement vers sa véritable cible à l’intérieur de leur réseau.
1Réalisé par les équipes de Crowdstrike, le Global Threat Report 2019 présente une analyse sélective mettant en lumière les tendances et événements les plus marquants de l'année 2018 en matière de cybermenaces.
