Cybermenaces T3 2024 - Rapport CATO Networks
Par SASETY
Ransomwares, Shadow AI et vulnérabilités, une menace en pleine évolution
Rapport Cybersécurité du troisième trimestre 2024 de Cato CTRL
CATO CTRL, le laboratoire de recherche sur les cybermenaces de CATO Networks, dévoile dans son rapport du troisième trimestre 2024 une vision approfondie de l’évolution des cybermenaces.
S’appuyant sur l’analyse de près de 1,5 trillion de flux réseau issus de plus de 2 500 clients, ce rapport met en lumière des tendances inquiétantes et des défis récurrents.
Par rapport au deuxième trimestre, certaines menaces prennent une nouvelle dimension, alors que d’autres continuent de se développer avec des implications de plus en plus graves.
Ransomware : une menace toujours plus structurée
Le rapport révèle une montée en sophistication des ransomwares. Désormais organisé sous forme de Ransomware-as-a-Service (RaaS), ce modèle d’affaires criminel mobilise des testeurs d’intrusion pour renforcer l’efficacité des attaques.
Un exemple marquant est celui de Hunters International, un groupe criminel ayant utilisé des outils tels que PsExec et AnyDesk pour chiffrer des données critiques et les exfiltrer.
Au deuxième trimestre, les attaques se concentraient davantage sur l’exploitation de vulnérabilités comme Log4j.
Ce changement souligne la capacité des cybercriminels à innover rapidement et à professionnaliser leurs opérations, rendant les systèmes d’information encore plus vulnérables.
Shadow AI : une explosion incontrôlée
Les outils d’intelligence artificielle non approuvés continuent de proliférer dans les entreprises. Ce phénomène, qualifié de Shadow AI, représente un risque accru de fuite de données sensibles et de violations de conformité.
Alors qu'au deuxième trimestre, l'utilisation informelle des IA génératives se limitait globalement à Microsoft Copilot et ChatGPT, les usages constatés désormais mettent en avant l’aggravation de ce risque, en particulier dans les secteurs à forte sensibilité comme la finance et la santé.
Ce point rappelle l’importance pour les organisations d'élaborer des politiques internes claires pour encadrer l’utilisation de ces outils.
Inspection TLS : un angle mort persistant
Le rapport révèle que seulement 45 % des organisations inspectent le trafic chiffré TLS. Bien qu'en légère augmentation par rapport au trimestre précédent, ce niveau d'adoption reste très insuffisant puisque les attaques dissimulées dans le trafic chiffré représentent 52 % des menaces bloquées par une inspection appropriée.
Le rapport insiste sur l’urgence d’adopter des solutions telles que le Safe TLS Inspection, une technologie capable d’automatiser cette tâche complexe.
Les vulnérabilités exploitées : Log4j toujours en tête
Trois ans après sa découverte, la vulnérabilité Log4j continue de dominer les attaques. Au troisième trimestre encore, elle reste une cible prioritaire, avec des tentatives exploitant les protocoles WANbound et TLS. Ces observations prolongent une tendance déjà identifiée au deuxième trimestre, où les attaques Log4j avaient augmenté de 61 % par rapport au début de l'année.
Outre Log4j, des vulnérabilités telles que Oracle WebLogic et des failles dans Microsoft Exchange ont été activement exploitées.
Ces évolutions reflètent une intensification des efforts des cybercriminels pour exploiter toute faiblesse dans les systèmes.
Les usurpations de marque : Amazon toujours ciblée
Le cybersquatting reste un vecteur majeur d’attaques, avec Amazon largement en tête des marques usurpées. Alors qu'au trimestre précédent, on identifiait des techniques comme le typosquatting, l'activité de ce trimestre met l’accent sur l’augmentation du levelsquatting, où des sous-domaines trompeurs sont utilisés pour piéger les utilisateurs.
Cette continuité démontre l’importance pour les entreprises de surveiller les abus liés à leurs marques et de sensibiliser leurs clients et partenaires aux risques liés aux fausses pages Web.
Progrès et stagnations dans les protocoles sécurisés
Malgré une légère amélioration dans l’adoption de protocoles comme HTTPS et SSH, le rapport souligne que 64 % du trafic WAN reste basé sur HTTP, un protocole obsolète. Ce chiffre reste comparable à celui du trimestre précédent, où des secteurs comme l’agriculture et les métaux montraient une utilisation excessive de Telnet et d’autres protocoles peu sûrs.
Le rapport appelle une fois de plus à une transition rapide vers des protocoles modernes comme SMBv3 et HTTPS pour sécuriser les communications.
Conclusion : Une vigilance impérative face à des menaces évolutives
Ce rapport de CATO CTRL met en évidence une professionnalisation croissante des cybercriminels, avec une diversification des méthodes et des cibles.
L’urgence d’agir n’a jamais été aussi forte en renforçant les moyens de défenses avec des outils avancés et une gouvernance proactive.
Recommandations clés :
- Renforcer l’inspection TLS : Automatiser l’identification et la gestion des menaces dans le trafic chiffré.
- Adopter des protocoles sécurisés : Accélérer la transition vers HTTPS, SSH et SMBv3.
- Encadrer l’utilisation de l’IA : Élaborer des politiques pour limiter les risques liés au Shadow AI.
- Renforcer la sensibilisation : Former les collaborateurs aux risques comme les ransomwares et l’usurpation de marque.
📘Retrouvez le rapport complet 👇
CATO Networks | CTRL | Cyber Threats Research Labs (sasety.com)
Comment sont réalisés ces rapports ?
CATO
CTRL
est l'unité de renseignement sur les cybermenaces de
CATO Networks. Elle exploite les données issues de la plateforme
Cloud
CATO
SASE
pour analyser et identifier les menaces internes et externes. Le rapport du troisième trimestre 2024 repose sur l'examen de 1,5 trillion de flux réseau, collectés auprès de plus de 2 500 clients à travers le monde. Cette analyse est approfondie grâce à l'intégration d'algorithmes d'intelligence artificielle et à l'expertise des analystes de
CATO Networks, offrant ainsi une perspective détaillée et pertinente du paysage des menaces actuelles.
