M-TRENDS

2019FIREEYE MANDIANT SERVICES | RAPPORT SPÉCIAL

12982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847912982342982639874293847293847293847293847293847293874298338472938472938472938472938742983

2RAPPORT SPÉCIAL | M-TRENDS 2019

Introduction

Au premier abord, peu de choses semblent avoir changé au cours de la décennie qui vient de s’écouler. L’année 2018 ressemblait à l’année 2017, qui elle-même ressemblait aux années précédentes. Les incidents de grande envergure sont encore légion, à la différence près qu'ils ont moins fait parler d'eux dans les médias. Les extorsions sont en hausse, portées par l’essor des cryptomonnaies et autres modes de paiement garantissant l’anonymat des parties impliquées. Ces devises sont d’ailleurs dans le viseur des cybercriminels à bien des égards : attaques de portefeuilles, violations de systèmes de paiement et mineurs.

L’année 2018 a été marquée par un certain nombre de tendances phares :

• Les services judiciaires ont multiplié les coups de filets. Ces dernières années, le secteur privé a joué un rôle de plus en plus important dans l’identification des auteurs d’attaques. Mais en 2018, la puissance publique lui a emboîté le pas. À titre d’exemple, les États-Unis, le Royaume-Uni, les Pays-Bas et l’Allemagne ont procédé à un certain nombre d’inculpations mettant en cause plusieurs individus ou groupes cybercriminels, parfois avec le précieux concours d'acteurs privés comme FireEye. Certes, les règles d'engagement restent les mêmes pour les autorités des pays concernés. Mais ces inculpations révèlent une réelle volonté de porter la lutte dans la sphère publique.

• Dans un contexte d’adoption massive du cloud et des solutions SaaS, les attaquants suivent la tendance et vont là où sont les données. D’où une augmentation des attaques visant des fournisseurs de services cloud, des opérateurs télécoms et autres dépositaires d’importants volumes de données.

Cycle de vie d'une attaque, techniques de camouflage des hackers, tendances des malwares, rapports d'investigation tirés d'incidents réels... ce ne sont là que quelques exemples des nombreux sujets abordés dans les rapports M-Trends® ces 10 dernières années.

Introduction201912982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847912982342982639874293847293847293847293847293847293874298338472938472938472938472938742983

3RAPPORT SPÉCIAL | M-TRENDS 2019

IntroductionInculpations annoncées en 2018 :

Mars : Corps des Gardiens de la révolution islamique Les départements américains de la Justice et du Trésor accusent l’Iran de s’être emparée de données de propriété intellectuelle de plus de 300 universités, ainsi que d’agences gouvernementales et d’acteurs des services financiers.1

Juillet : Agents du renseignement russe Le département de la Justice des États-Unis annonce l’inculpation de 12 agents du renseignement russe pour leur rôle présumé dans des cyberopérations à l’encontre du Parti démocrate, lors de la campagne présidentielle de 2016. Ces agents sont accusés d'avoir détourné puis publié des e-mails internes du Comité national démocrate et de la campagne d’Hillary Clinton. Ils auraient aussi ciblé des officiels locaux et tenté d'accéder aux infrastructures électorales en vue de peser sur le scrutin.2

Août : Groupe de cybercriminels FIN7 Plusieurs ressortissants ukrainiens sont inculpés pour leur appartenance au groupe de cybercriminels connu sous le nom de FIN7. On leur reproche notamment d’avoir participé à une campagne de malwares qui leur a permis de faire main basse sur des millions de numéros de cartes bancaires.3

Septembre : Piratage d’institutions financières Le département de la Justice des États-Unis annonce l'arrestation et l'extradition d'un pirate russe soupçonné d’être impliqué dans l’attaque menée contre JP Morgan Chase en 2014. Avec pas moins de 80 millions de personnes touchées, cet incident est considéré comme « le plus important vol de données clients jamais subi par un établissement financier américain ».4

Septembre : Piratage de Sony par la Corée du Nord Le département de la Justice des États-Unis a inculpé Park Jin Hyok, un pirate nord-coréen particulièrement prolifique. À son actif, l’attaque de Sony en 2014, le cyberbraquage d’une banque bangladaise pour un montant de 81 millions de dollars en 2016 et le ransomware WannaCry.5

1 Département de la Justice des États-Unis (23 mars 2018). Nine Iranians Charged With Conducting Massive Cyber Theft Campaign on Behalf of the Islamic Revolutionary Guard Corps.2 New York Times (13 juillet 2018). 12 Russian Agents Indicted in Mueller Investigation. 3 Département de la Justice des États-Unis (1er août 2018). Three Members of Notorious International Cybercrime Group “Fin7” In Custody for Role in Attacking Over 100 U.S. companies. 4 Département de la Justice des États-Unis (7 septembre 2018). Manhattan U.S. Attorney Announces Extradition Of Alleged Russian Hacker Responsible For Massive Network Intrusions

At U.S. Financial Institutions, Brokerage Firms, A Major News Publication, And Other Companies.5 Département de la Justice des États-Unis (6 septembre 2018). North Korean Regime-Backed Programmer Charged With Conspiracy to Conduct Multiple Cyber Attacks and Intrusions.

Le rapport M-Trends 2019 décrypte les grandes tendances observées au cours d’investigations post-incidents menées par FireEye Mandiant. Activités des groupes APT dans diverses régions, risques de phishing lors de fusions-acquisitions, bonnes pratiques de protection... nous abordons la cybersécurité sous divers angles.

Nous répondons également à la question que tout le monde se pose : les acteurs de la cybersécurité sont-ils meilleurs qu'avant pour démasquer les auteurs d'attaques ? Comme nous, vous aurez plaisir à constater que la réponse est oui. Entre le 1er octobre 2017 et le 30 septembre 2018, la durée médiane d’implantation dans le monde a été de 78 jours. En clair, les pirates ont pu opérer pendant moins de trois mois en moyenne avant d’être détectés, contre 101 jours l’année précédente, soit une baisse d’environ 25 %.

Fidèles à nos habitudes, nous ponctuons ce rapport M-Trends d'études de cas visant à étayer nos constatations. Ainsi, nous soulignons l’importance d’une identification précoce en analysant un incident désormais attribué au groupe TEMP.Demon. Nous évoquons aussi le cas d’une « arnaque au président » dont a été victime une entreprise internationale de télécommunications basée en Asie du Sud-Est.

Depuis la publication du premier rapport M-Trends il y a 10 ans, nous nourrissons toujours la même ambition : aider les équipes de sécurité à mieux lutter contre toutes les cybermenaces, émergentes ou établies.

Les informations de ce rapport ont été anonymisées afin de protéger les identités des victimes et leurs données.

FIN734273894723094830293842039840

34273894723094830293842039840

MILLIONS DE CLIENTS

80

AGENTS DU RENSEIGNEMENT

RUSSE

12

4RAPPORT SPÉCIAL | M-TRENDS 2019

12982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847912982342982639874293847293847293847293847293847293874298338472938472938472938472938742983

Les statistiques du rapport M-Trends 2019 reposent sur les investigations menées par FireEye Mandiant lors d’attaques ciblées, perpétrées entre le 1er octobre 2017 et le 30 septembre 2018.

LES CHIFFRES CLÉS La durée

d’implantation correspond au nombre de jours de présence d'un attaquant sur le réseau d’une victime, des premières traces de la compromission jusqu'à la détection. Une médiane désigne une valeur qui permet de diviser un ensemble de données triées en deux parts égales.

4RAPPORT SPÉCIAL | M-TRENDS 2019

5RAPPORT SPÉCIAL | M-TRENDS 2019

12982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847912982342982639874293847293847293847293847293847293874298338472938472938472938472938742983

DURÉE MÉDIANE D'IMPLANTATION DANS LE MONDE

Notifications de compromissions 2011 2012 2013 2014 2015 2016 2017 2018

Toutes 416 243 229 205 146 99 101 78

Externes 320 107 186 184

Internes 56 80 57,5 50,5

DURÉES D’IMPLANTATION À L'ÉCHELLE MONDIALE

En 2018, la durée d’implantation des compromissions étudiées par Mandiant était inférieure ou égale à 30 jours dans 31 % des cas, contre 28 % en 2017. Dans 12 % des investigations menées, ce chiffre dépassait la barre des 700 jours, contre 21 % l’année précédente. Comment expliquer l’augmentation du nombre de compromissions détectées en moins de 30 jours ? Premier élément de réponse, le recours plus fréquent aux ransomwares et cryptomineurs, repérés plus rapidement. Deuxième élément de réponse, des outils plus performants qui améliorent la visibilité sur les données et accélèrent la réponse à incident côté client.

Aujourd’hui, les organisations sont mieux armées pour détecter rapidement une compromission de leur sécurité. Ces huit dernières années, la durée médiane d’implantation a largement diminué, passant de 416 jours en 2011 à 78 jours en 2018.

DURÉE MÉDIANE D’IMPLANTATION

416JOURS EN 2011

78JOURS EN 2018

LÉGENDE % des investigations menées en 2018

Durée d’implantation (jours)

0-7

201-3

008-

1415

-30

31-4

5

46-60

61-75

76-9

0

91-150

151-2

00

901-1 0

00

301-4

00

401-500

501-6

00

601-700

Plus d

e

2 000

701-8

00

801-9

00

1 000-2

 000

20

15

10

5

0

15 %

7 %

9 %7 % 7 %

10 %

6 % 6 %7 %

3 %1 %

4 %

2 % 1 %0

1 %

7 %

4 %

2 %

Po

urce

ntag

e d

’inve

stig

atio

ns e

n 20

18

6RAPPORT SPÉCIAL | M-TRENDS 2019

140

120

100

80

60

40

20

0

Dans ce contexte, la durée d’implantation globale est restée quasiment stable, s’établissant à 177 jours contre 175 en 2017. Pourtant, sur les plans internes et externes, la durée d’implantation est en nette hausse, ce qui reflète un inversement de tendance dans la zone EMEA. Mais il s’agit là d’une évolution positive : les organisations en général, et les comités exécutifs en particulier, prennent la question de la cybersécurité beaucoup plus au sérieux. Si les réglementations telles que le RGPD ont pesé dans la balance, ce changement de perspective est aussi lié à une prise de conscience du risque que représentent les cyberattaques ciblées.

DURÉE MÉDIANE D’IMPLANTATION

175JOURS EN 2017

177JOURS EN 2018

DURÉE MÉDIANE D’IMPLANTATION EMEA

Externes

Internes

ToutesNOTIFICATIONS

Dur

ée d

’imp

lant

atio

n (j

our

s)

2016 2017 2018

En Amérique du Nord et du Sud, la durée médiane d’implantation est passée de 75,5 jours en 2017 à 71 jours en 2018. Malgré cette légère baisse, nous avons noté de grandes disparités d'une mission à l'autre. Ainsi, nous avons enregistré une progression modérée des attaques par ransomware et compromission de messageries professionnelles, deux vecteurs dont l’impact instantané leur vaut d'être immédiatement détectés. La diminution de la durée d’implantation est également à mettre à l'actif des entreprises et au renforcement de leurs capacités internes de traque, sans oublier une visibilité accrue au niveau du cloud, des terminaux et des réseaux.

DURÉE MÉDIANE D’IMPLANTATION

75,5JOURS EN 2017

71JOURS EN 2018

DURÉE MÉDIANE D’IMPLANTATION SUR LES CONTINENTS NORD- ET SUD-AMÉRICAINS

Externes

Internes

ToutesNOTIFICATIONS

99

75,5

104

35

137,5

42,5

71

124,5

46

500

400

300

200

100

0

20182016

106128

83

177

474

61

Dur

ée d

’imp

lant

atio

n (j

our

s)

2017

175

305

24,5

La suite en page suivante

7RAPPORT SPÉCIAL | M-TRENDS 2019

DURÉE MÉDIANE D’IMPLANTATION

204JOURS EN 2018

1 200

1 000

800

600

400

200

0

2016 2017 2018

Dur

ée d

’imp

lant

atio

n (j

our

s)

1 088

320,5

158

262

Dans la zone APAC, la durée médiane d’implantation a été de 204 jours, signe d'une courbe en dents de scie avec 498 jours en 2017 et 172 jours en 2016.

À l’origine de cette amélioration, l’augmentation des compromissions à impact quasi immédiat sur l’organisation cible. Cependant, cette statistique occulte le fait que l’ampleur et la complexité des attaques ont également progressé. Certaines durées d’implantation dépassant la barre des sept ans, il est clair que la lutte contre les violations non détectées n’est pas encore gagnée. Fait marquant, de nombreux groupes connus continuent d'utiliser les mêmes modes opératoires, preuve de l'efficacité de ces méthodes mais aussi de l'attentisme de leurs cibles. Pas étonnant, donc, qu’un pourcentage élevé d’organisations soient victimes de récidives.

Externes

Internes

ToutesNOTIFICATIONS

498JOURS EN 2017

172

498

204

DURÉE MÉDIANE D’IMPLANTATION EN ZONE APAC

De fait, alors que de nombreuses entreprises décident de prendre à bras-le-corps le problème des menaces avancées, leurs équipes de sécurité mettent au jour des attaques déjà très anciennes. Ainsi, la hausse de la durée d’implantation en interne et en externe n’est que le reflet de l’importance accordée à une sécurité renforcée.

Qui plus est, l’écart grandissant entre les notifications internes et les notifications externes démontre que les entreprises se dotent de solides moyens de détection et de remédiation, conscientes qu'elles sont de l'importance de ne pas s'en remettre à des tiers dans ce domaine.

DURÉE MÉDIANE D’IMPLANTATION EN ZONE EMEA (SUITE)

8RAPPORT SPÉCIAL | M-TRENDS 2019

DÉTECTION PAR SOURCE Les organisations sont de moins en moins tributaires de sources externes pour mettre au jour une compromission : en 2018, près de 60 % des cas ont été détectés en interne. Si ce chiffre représente une légère baisse par rapport à 2017 (62 %), il s’agit néanmoins d’une amélioration significative puisqu’en 2014, seulement 31 % des incidents avaient été découverts en interne.

Notifications de compromissions 2011 2012 2013 2014 2015 2016 2017 2018

Externes 94 % 63 % 67 % 69 % 53 % 47 % 38 % 41 %

Internes 6 % 37 % 33 % 31 % 47 % 53 % 62 % 59 %

SECTEURS AYANT FAIT L’OBJET D’INVESTIGATIONS

17 %

4 %

4 %

8 %

23 %5 %

5 %

12 %

4 %

12 %

4 % 2 %

Services aux entreprises

Construction et ingénierie

Enseignement

Divertissement et médias

FinanceAdministrations et collectivités

Santé

Commerce et hôtellerie

Transport et logistique

Hautes technologies et télécoms

Énergie et services d'utilité publique

Autres

Internes

80

60

40

20

0

APAC

Externes Internes

80

60

40

20

0

EMEA

Externes

AMÉRIQUES

Externes Internes

80

60

40

20

0

62 %

38 %44 %

56 % 60 %

40 %

DÉTECTION RÉGIONALE PAR SOURCE

9RAPPORT SPÉCIAL | M-TRENDS 2019

CIBLE UN JOUR, CIBLE TOUJOURS

Attaques à répétition : la hausse se poursuitDans notre précédent rapport M-Trends, 56 % des entreprises clientes des services managés de détection et de réponse de FireEye (anciennement clientes des services de réponse à incident de Mandiant) avaient été victimes d’au moins une récidive au cours des 19 derniers mois, soit par le même groupe, soit par un groupe animé des mêmes intentions.

En 2018, ce chiffre a continué à grimper pour atteindre 64 %. Le constat est clair : une entreprise victime d'une compromission a beaucoup plus de chances d’être à nouveau prise pour cible.

Région 2017 2018

Amériques 44 % 63 %

EMEA 47 % 57 %

APAC 91 % 78 %

Dans le monde 56 % 64 %

Entreprises clientes des services de réponse à incident ayant été la cible d’attaques à répétition, par région.

Secteurs d’activité ciblés

Complexe militaro-industriel

2 % IT 6 %

Enseignement 13 % Services juridiques 2 %

Énergie 5 % Industrie manufacturière

3 %

Finance 18 % Médias 2 %

Agroalimentaire 5 % Exploitation minière 2 %

Administrations et collectivités

5 % Pharmaceutique 9 %

Santé 11 % Commerce et hôtellerie

7 %

Industrie lourde 4 % Télécommunications 7 %

ENTREPRISES CLIENTES DES SERVICES MANAGÉS DE DÉTECTION ET DE RÉPONSE AYANT ÉTÉ VICTIMES D’ATTAQUES À RÉPÉTITION EN 2018 (PAR INDUSTRIE)

13 %

5 %

18 %

5 %

5 %11 %

4 %

6 %

3 %

9 %

7 %

7 %

2 %

2 %

2 %

2 %

10RAPPORT SPÉCIAL | M-TRENDS 2019

12982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847987383872384798729

APT37

3427

3894

7230

948302

9384

34273894

7230

94830

29384

34273894723094830293843

4273894

72309

4830

29384

342738947230948302938434273894723094830

29384CONCLUSION

10RAPPORT SPÉCIAL | M-TRENDS 2019

11RAPPORT SPÉCIAL | M-TRENDS 2019

12982342982639874293847293847293847293847293847293874298374298347293847293568420394820394802936293874923874293879283473847293847293847987383872384798729

APT37

3427

3894

7230

948302

9384

34273894

7230

94830

29384

34273894723094830293843

4273894

72309

4830

29384

342738947230948302938434273894723094830

29384

CONCLUSION

Sous un certain angle, le secteur de la cybersécurité s’est radicalement transformé au cours de la décennie passée. Aujourd’hui, la durée médiane d’implantation est de 78 jours à l'échelle mondiale, soit quasiment un an de moins qu’en 2011, première année de publication de cette statistique. Imaginez les conséquences désastreuses si les hackers pouvaient opérer incognito sur une même période aujourd'hui. Nous en avons eu un aperçu dans le présent rapport, avec le cas d'un cybercriminel qui a conservé l’accès au réseau d’un opérateur télécom pendant au moins trois ans.

Mais si l’on change de perspective, l’industrie de la cybersécurité a peu évolué ces dix dernières années. Tant que les technologies de base n’iront pas plus loin, l’écosystème de la cybersécurité restera sans doute le même : des cybercriminels aux origines et motivations diverses cibleront des réseaux et des systèmes aux quatre coins du globe, et les spécialistes de la sécurité auront la dure mission de faire tout ce qu'ils peuvent pour contrecarrer leurs plans.

Il y a plusieurs points à retenir dans le rapport M-Trends 2019. Premièrement, nous en savons un peu plus sur les dernières menaces APT en provenance de la Corée du Nord, de la Russie, de l’Iran et de la Chine. Deuxièmement, nous connaissons désormais les avantages d'une détection précoce et d’une meilleure visibilité sur tous les services et solutions. Troisièmement, grâce aux « Red Teams » de Mandiant, nous avons appris qu'une authentification multifacteur mal gérée, des mots de passe faibles et une segmentation insuffisante des comptes se soldaient quasiment toujours par une compromission.

Pour tester la sécurité d’une organisation, rien de mieux qu’une équipe de hackers éthiques. Celle de Mandiant utilise des techniques non destructives pour atteindre différents objectifs de mission, définis au préalable avec le client. La simulation reproduit fidèlement les méthodes d’une attaque furtive en recourant aux mêmes outils, tactiques et procédures que ceux observés dans le cadre d’incidents récents. Cette mise en situation permet ainsi à l’équipe de sécurité du client d’évaluer ses capacités à détecter et neutraliser une attaque en cours.

C’est pourquoi nous incitons les entreprises à organiser des exercices de simulation de réponse à incident sur des scénarios d’intrusion classiques. Ces pratiques permettent d’entraîner les principaux acteurs – notamment les dirigeants, le service juridique et les autres intervenants clés – aux processus et concepts associés.

La dernière décennie n’a en rien entamé la détermination des experts de la cybersécurité à lutter contre les cybercriminels.

À travers la publication de ses rapports M-Trends, FireEye restera fidèle à son engagement de sensibilisation et d'information au service du collectif.

FireEye, France Nextdoor Cœur Défense 110 Esplanade du Général de Gaulle 92931 Paris La Défense Cedex 92974 +33 1 70 61 27 26 france@FireEye.com | www.FireEye.fr FireEye, Inc. 601 McCarthy Blvd. Milpitas, CA 95035 +1 408 321 6300 info@FireEye.com

Pour en savoir plus, rendez-vous sur : www.fireeye.fr

À propos de FireEye, Inc. FireEye est spécialisé dans la cybersécurité axée sur la Threat Intelligence. Prolongement naturel et évolutif des opérations de sécurité des clients, la plateforme unique de FireEye combine des technologies de sécurité innovantes, des services de Threat Intelligence d’envergure internationale et les services réputés de Mandiant® Consulting. Ainsi, FireEye simplifie la cybersécurité des entreprises pour leur permettre de se préparer, de prévenir et de contrer les cyberattaques. FireEye compte plus de 7 700 clients dans 67 pays, dont plus de 50 % figurent au classement Forbes Global 2000.© 2019 FireEye, Inc. Tous droits réservés. FireEye

est une marque déposée de FireEye, Inc. Tous les autres noms de marques, de produits ou de services sont ou peuvent être des marques commerciales ou des marques de service de leurs propriétaires respectifs. SP.MTRENDS2019.FR-FR-000114-01