Les cyberattaques modernes sont rarement des incidents isolés. Le plus souvent, elles s'inscrivent dans le cadre de campagnes soutenues menées par des acteurs de menaces persistantes. Une fois que les attaquants ont réussi à compromettre un environnement, ils reviennent souvent, soit parce qu'ils ont toujours accès à l'environnement, soit parce que les faiblesses qui ont permis l'intrusion restent exploitables. Comme tous les criminels, ils ont tendance à privilégier la voie de la moindre résistance. Si les défenses d'une organisation semblent faibles ou mal surveillées, elle devient une cible plus attrayante qu'une organisation dotée de contrôles de sécurité plus solides et de capacités de détection visibles.

Si une organisation a été attaquée une fois, il y a de fortes chances qu'elle soit à nouveau prise pour cible. Il est essentiel de comprendre pourquoi les cyberattaques se répètent pour élaborer une stratégie de cybersécurité efficace.

L'ampleur et la persistance des cyberattaques

Les cyberattaques se produisent à une échelle mondiale énorme. Selon des études menées par l'industrie, plus de 2 200 cyberattaques se produisent chaque jour, soit environ une attaque toutes les 39 secondes. Ce chiffre reflète l'automatisation et l'industrialisation croissantes de la cybercriminalité.

Ce qui est encore plus inquiétant, c'est la fréquence à laquelle les organisations sont ciblées plusieurs fois.

Les recherches menées dans le cadre de plusieurs rapports de veille sur les menaces mettent en évidence un schéma clair :

    • 56 % des organisations ont subi plus d'une attaque par ransomware en l'espace de deux ans.
    • 38 % des victimes de ransomware déclarent avoir été attaquées plusieurs fois.
    • Jusqu'à 80 % des organisations qui ont payé une rançon ont été attaquées à nouveau, parfois par le même acteur.
    • Une victime de ransomware sur trois subit une nouvelle attaque après la violation initiale.

Ces chiffres mettent en évidence une réalité essentielle de la cybercriminalité moderne : une fois que les attaquants savent qu'une organisation peut être violée, elle devient une cible connue et attrayante.

Du point de vue de l'attaquant, revenir à une organisation déjà compromise demande beaucoup moins d'efforts que d'identifier une nouvelle victime.

Les attaquants quittent rarement l'organisation une fois qu'ils y ont accédé

Une autre raison pour laquelle les cyberattaques sont rarement des événements uniques est que les attaquants conservent souvent un accès caché à l'intérieur des réseaux compromis.

Lorsque les acteurs de la menace pénètrent pour la première fois dans un réseau, il est rare qu'ils atteignent immédiatement leur objectif final. Au lieu de cela, ils mettent généralement en place des mécanismes de persistance qui leur permettent de revenir plus tard. Ces mécanismes peuvent être les suivants

    • des informations d'identification compromises ou volées
    • des comptes administrateurs cachés
    • de tâches programmées ou d'outils d'accès à distance
    • des portes dérobées de logiciels malveillants ou des canaux de commande et de contrôle.

Les équipes de sécurité désignent le temps qui s'écoule entre la compromission initiale et la détection par l'expression " temps d'attente de l'attaquant". Pendant cette période, les attaquants cartographient discrètement l'environnement, escaladent leurs privilèges et identifient les systèmes critiques.

Lorsque la phase visible d'une attaque se produit, comme le déploiement d'un ransomware ou le vol de données, les attaquants peuvent déjà contrôler plusieurs systèmes au sein du réseau.

Si la réponse aux incidents se concentre uniquement sur les symptômes immédiats de l'attaque, ces points d'appui cachés peuvent rester en place. Par conséquent, les attaquants peuvent revenir des semaines ou des mois plus tard.

La cybercriminalité fonctionne comme un écosystème

La cybercriminalité est devenue un écosystème complexe et hautement spécialisé. Les différents acteurs de la menace se concentrent désormais sur des étapes spécifiques du cycle de vie de l'attaque.

Par exemple :

    • Les courtiers d'accès initial se spécialisent dans l'accès aux réseaux d'entreprise.
    • Les opérateurs de ransomware déploient des logiciels malveillants et pratiquent l'extorsion.
    • Les courtiers en données vendent des informations volées sur des marchés clandestins.

Cette division du travail signifie qu'une seule compromission peut conduire à de multiples attaques au fil du temps.

Un courtier d'accès initial peut vendre un accès au réseau à un groupe de ransomware. Ce groupe de ransomware peut ensuite voler des données et les revendre à d'autres criminels. Dans certains cas, une même organisation peut être confrontée à plusieurs attaques distinctes qui découlent toutes de la même faille initiale.

Des recherches ont montré que les attaques répétées par ransomware sont souvent menées par le même acteur qui a mené l'attaque initiale, ce qui montre comment les attaquants réutilisent des voies d'accès connues.

Les mêmes failles de sécurité restent exploitables

Les cyberattaques répétées sont souvent le signe que les failles de sécurité sous-jacentes n'ont pas été entièrement corrigées.

De nombreuses violations réussies sont dues à des faiblesses communes telles que

    • des vulnérabilités logicielles non corrigées
    • la faiblesse de la gestion des identités et des accès
    • l'absence d'authentification multifactorielle
    • des privilèges excessifs
    • services en nuage mal configurés
    • visibilité limitée dans les environnements hybrides

Si ces problèmes ne sont pas identifiés et ne font pas l'objet d'une priorité de remédiation, les attaquants peuvent simplement répéter le même chemin d'attaque.

Par exemple, si les attaquants obtiennent un accès par le biais d'informations d'identification compromises, la réinitialisation du mot de passe peut ne pas suffire. En l'absence de contrôles d'identité plus stricts, tels que l'authentification multifactorielle, les attaquants peuvent cibler un autre utilisateur avec la même technique.

De même, l'application de correctifs à un seul système vulnérable n'élimine pas le risque si des expositions similaires existent ailleurs dans l'environnement.

C'est pourquoi de nombreux responsables de la sécurité s'orientent vers une gestion continue de l'exposition aux menaces, qui se concentre sur l'identification et la réduction des vulnérabilités exploitables avant que les attaquants ne puissent les utiliser.

Les attaquants se déplacent plus vite que jamais

La vitesse des cyberattaques modernes augmente également.

Les études de veille sur les menaces montrent que les attaquants peuvent se déplacer latéralement à l'intérieur de réseaux compromis extrêmement rapidement. Selon les données de Crowdstrike, le délai entre la compromission initiale et le déplacement interne est tombé à moins de 30 minutes.

L'automatisation, les campagnes d'hameçonnage basées sur l'IA et les outils de vol d'informations d'identification permettent aux attaquants d'opérer à grande échelle. Il est donc plus facile pour les acteurs de la menace de cibler les organisations de manière répétée et d'adapter leurs techniques.

Par conséquent, les organisations doivent s'attendre à ce que les attaques soient non seulement récurrentes, mais aussi de plus en plus sophistiquées.

Comment Integrity360 aide les organisations

La prévention des cyberattaques répétées exige plus que des contrôles de sécurité réactifs. Les organisations ont besoin d'une visibilité continue, d'une gestion proactive des risques et de capacités de réponse rapide.

Integrity360 propose une gamme de services de cybersécurité conçus pour relever ces défis.

Détection et réponse gérées (MDR)

Le service Managed Detection and Response (MDR) d'Integrity360 assure une surveillance continue des points d'extrémité, des réseaux, des environnements en nuage et des identités.

En analysant la télémétrie de sécurité en temps réel, MDR permet aux entreprises de détecter les activités suspectes à un stade précoce du cycle de vie de l'attaque. Cela réduit considérablement le temps de séjour des attaquants et empêche les menaces de se transformer en brèches majeures.

La surveillance continue permet également d'identifier les tentatives d'attaques répétées avant qu'elles n'aboutissent.

cyberfiremdr

Gestion continue de l'exposition aux menaces (CTEM)

La gestion continue de l'exposition aux menaces (CTEM) se concentre sur l'identification et la hiérarchisation des failles de sécurité les plus susceptibles d'être exploitées par les attaquants.

Plutôt que de s'appuyer uniquement sur l'analyse périodique des vulnérabilités, la gestion continue de l'exposition aux menaces (CTEM) permet de connaître en permanence la surface d'attaque d'une organisation. Les équipes de sécurité peuvent ainsi concentrer leurs efforts de remédiation sur les risques les plus importants.

En s'attaquant à ces risques de manière proactive, les organisations peuvent empêcher les attaquants de réutiliser les mêmes chemins d'attaque.

ctem-1

Réponse aux incidents (RI)

Lorsqu'une brèche se produit, il est essentiel de la contenir rapidement.

L'équipe de réponse aux incidents d'Integrity360 aide les organisations à enquêter sur les attaques et à les contenir, à identifier les causes profondes et à éliminer les mécanismes de persistance que les attaquants ont pu mettre en place.

Il est important de noter que la réponse aux incidents va au-delà de la simple restauration des systèmes. Elle veille à ce que les attaquants ne puissent pas revenir par les mêmes voies d'accès.

IR Brochure new

La cyber-résilience nécessite une défense continue

Les cyberattaques sont rarement des événements isolés. Elles font partie de campagnes persistantes menées par des adversaires qui s'adaptent, reviennent et exploitent les mêmes faiblesses à plusieurs reprises.

Les statistiques montrent que les organisations subissent fréquemment des attaques répétées, en particulier lorsque les risques sous-jacents ne sont pas résolus.

Pour les organisations, la leçon est claire. La cybersécurité ne peut pas reposer sur des défenses ponctuelles ou des efforts de remédiation uniques. Elle doit être continue, proactive et axée sur l'identification des risques avant que les attaquants ne les exploitent.

En combinant une surveillance continue, une gestion de l'exposition et une réponse efficace aux incidents, les organisations peuvent réduire de manière significative la probabilité d'attaques répétées et renforcer leur résilience cybernétique à long terme.

Contact Us

FAQ : Pourquoi les cyberattaques sont rarement ponctuelles

Pourquoi les attaquants reviennent-ils après une cyberattaque ?

Les attaquants reviennent souvent parce qu'ils comprennent déjà l'environnement de l'organisation. Si les vulnérabilités, les informations d'identification ou les points d'accès restent exploitables, la répétition de l'attaque demande beaucoup moins d'efforts que le ciblage d'une nouvelle organisation.

À quelle fréquence les organisations subissent-elles des cyberattaques répétées ?

Les recherches montrent que 38 % des victimes de ransomware sont attaquées plus d'une fois et que plus de la moitié des organisations subissent de multiples attaques en l'espace de deux ans.

Quelles sont les causes des cyberattaques répétées ?

Les causes les plus courantes sont les vulnérabilités non corrigées, la faiblesse des contrôles d'identité, la mauvaise visibilité des environnements et une réponse incomplète aux incidents qui ne parvient pas à éliminer la persistance des attaquants.

Comment les organisations peuvent-elles prévenir les cyberattaques répétées ?

La prévention des cyberattaques répétées nécessite une surveillance continue, une gestion proactive de l'exposition, une sécurité des identités forte et des capacités de réponse aux incidents efficaces.