Les cyberattaques ont continué d’évoluer en sophistication avec des impacts financiers croissants chaque année – comme ce fut le cas en 2022. Les impacts des failles de sécurité subies en 2022 ont été bien pires que n’importe quelle année précédente à ce jour. Par exemple, le coût total moyen mondial d’une violation de données est de 4,35 millions de dollars, tandis que dans les entreprises américaines, le coût moyen d’une violation de données a atteint 9,44 millions de dollars.
Le secteur de la santé a enregistré les coûts de violation de données les plus élevés dans différents secteurs pendant 12 années consécutives. Le coût total moyen d’une violation dans le secteur de la santé a atteint la somme impressionnante de 10,1 millions de dollars en 2022. Selon le rapport d’enquête sur les violations de données de Verizon , les informations d’identification, le phishing, les botnets et l’exploitation des vulnérabilités étaient les principaux vecteurs d’attaque en 2022. L’étendue des dommages dus à ces les cyberattaques ont continué d’augmenter pour les organisations piratées, car des milliards d’enregistrements de données personnelles sensibles ont été volés et des millions d’individus touchés.
Alors que les équipes de sécurité se concentrent sur la protection des actifs informatiques dans un cyberespace incertain et la prévention des failles en 2023, nous devons examiner les incidents majeurs de l’année dernière et tirer les leçons apprises.
Risques de sécurité révélés en 2022
Au cours de la dernière année, les attaquants ont principalement ciblé le développement de code non sécurisé, les attaques de phishing, les comptes open source sur GitHub et les risques de sécurité tiers non résolus. Les failles de sécurité et les erreurs des utilisateurs ont continué d’être les principales raisons des violations de données. Il est devenu crucial pour les entreprises de comprendre que la sensibilisation à la sécurité est indispensable, de la réceptionniste aux équipes DevOps. Sinon, « l’élément humain » de la cybersécurité continuera d’être ciblé par les attaquants via le phishing, le spear-phishing et les menaces persistantes avancées (APT).
1. Code non sécurisé
Un nombre croissant d’infractions émergent du code non sécurisé qui n’est pas testé de manière adéquate avant le déploiement. Par exemple, une vulnérabilité zero-day a affecté 5,4 millions de comptes d’utilisateurs Twitter. La vulnérabilité a été signalée à Twitter le 1er janvier 2022 et corrigée le 13 janvier 2022. Cependant, cette fenêtre de treize jours était suffisante pour que l’acteur malveillant lise le rapport du chasseur de menaces et vole avec succès des données utilisateur sensibles telles que des numéros de téléphone et adresses mail. Idéalement, cette vulnérabilité aurait dû être découverte avant que Twitter ne mette à jour son code en juin 2021 avec des tests de pénétration des applications .
2. Logiciels de rançon
Les rançongiciels, l’un des types de logiciels malveillants les plus populaires, empêchent les utilisateurs d’accéder à leurs appareils et à leurs données jusqu’à ce que la rançon demandée soit payée. Une fois que la charge utile est exécutée sur le système d’un utilisateur, les données stockées sont cryptées et deviennent inaccessibles. À mesure que les tactiques, techniques et procédures (TTP) des attaquants ont évolué, les ransomwares en tant que service et les courtiers d’accès initiaux prolifèrent sur le dark web, entraînant davantage d’attaques de ransomwares en 2022. Par exemple, Toyota a dû arrêter ses opérations dans 14 usines de production en raison d’une attaque par rançongiciel chez l’un de leurs fournisseurs pendant une journée en mars 2022, qui a réduit d’un tiers la production mondiale de l’entreprise.
Un fait saillant à noter, après des années de tendance à la hausse, les paiements de ransomwares ont chuté de plus de 40 % en 2022 par rapport à 2021, selon une nouvelle étude. Les paiements des victimes aux gangs criminels de ransomwares sont tombés à 456,8 millions de dollars en 2022 contre 765,6 millions de dollars en 2021. Les experts du secteur pensent que les organisations sont mieux préparées aux attaques de ransomwares, car elles exploitent les sauvegardes du système et des données pour récupérer, ainsi que d’autres méthodes de sécurité. Parallèlement, l’avis de 2021 de l’Office of Foreign Assets Control (OFAC) du département américain du Trésor décrit comment les organisations qui paient les criminels de ransomwares seront passibles de sanctions, a également aidé à empêcher les entreprises de répondre aux demandes d’extorsion de ransomwares.
3. Sécurité tierce
Le plus souvent, les fournisseurs tiers sont le maillon faible de la posture de sécurité d’une organisation, car ils peuvent ne pas avoir le même niveau de défense en place. Une attaque de sécurité tierce peut exposer les données d’une organisation. Le nombre de cyberattaques sur la chaîne d’approvisionnement a augmenté en 2022. La violation de Toyota démontre à quel point une attaque de la chaîne d’approvisionnement peut être dévastatrice pour une organisation. Pendant ce temps, la chaîne d’approvisionnement numérique a également été attaquée en 2022, avec des fournisseurs de sécurité populaires, tels que Okta, LastPass et GitHub, signalant des violations. L’accent mis sur la sécurité des tiers et la conduite minutieuse d’exercices de diligence raisonnable pour les fournisseurs externes n’ont jamais été aussi importants.
4. Lacunes de sécurité non détectées
Une cyberattaque importante est aujourd’hui inévitable sans mesures de sécurité appropriées, telles que les tests et la gestion des correctifs des systèmes et environnements connectés. Les vulnérabilités dues à des clouds mal configurés, des vulnérabilités connues non corrigées et un accès privilégié excessif sans les vérifications requises ont également entraîné une augmentation des failles de sécurité informatique en 2022.
Les 20 principales failles de sécurité informatique en 2022
1. OneTouchPoint
OneTouchPoint est une société américaine basée dans le Wisconsin et est identifiée comme un « associé commercial » en vertu de la loi HIPAA (Health Insurance Portability and Accountability Act). Selon la divulgation de l’entreprise au Bureau des droits civils (OCR) le 27 juillet 2022, 4,1 millions d’ utilisateurs ont été touchés par cet incident de piratage sur le serveur réseau de l’entreprise. Selon les chercheurs, l’acteur menaçant a pu accéder à des fichiers cryptés sur le serveur de OneTouchPoint et a volé des noms, des identifiants de membres et des informations sur la santé des patients (PHI) fournis aux médecins lors de rendez-vous.
2. Advocate Aurora Health
Advocate Aurora Health est une société américaine de soins de santé à but non lucratif dont le siège est dans l’Illinois et qui compte plus de 25 hôpitaux et 500 sites de soins. Comme indiqué à l’OCR le 14 octobre 2022, 3M d’utilisateurs ont été affectés en raison d’un accès non autorisé aux dossiers médicaux électroniques (DME) des patients. Des informations sensibles telles que l’emplacement physique, l’adresse IP, le nom et les PHI ont été exposées à des fournisseurs tiers. La principale raison de cette violation de données était des morceaux de code appelés «pixels» mis en place par des entreprises comme Google et Meta.
3. Nelnet Servicing
Nelnet Servicing est une société basée aux États-Unis dont le siège social se trouve au Nebraska et qui propose des services éducatifs dans les domaines du service des prêts, de la planification de l’éducation et du traitement des paiements. Les services de Nelnet, y compris un portail Web, sont utilisés par EdFinancial et Oklahoma Student Loan Authority (OSLA). Les rapports affirment que les pirates ont exploité une vulnérabilité existante et compromis le réseau de Nelnet. Dans cet incident de sécurité, le nom complet, l’adresse physique, l’adresse e-mail, le numéro de téléphone et le numéro de sécurité sociale de plus de 2,5 millions de personnes ont été touchés. Selon le rapport de divulgation de l’entreprise soumis au bureau du procureur général du Maine, la violation s’est produite entre le 1er juin 2022 et le 22 juillet 2022 et a été découverte le 17 août 2022. Les personnes concernées ont ensuite été informées le 26 août 2022.
4. Whatsapp
Le 16 novembre 2022, un acteur malveillant a mis en vente les numéros mobiles de 487 millions d’utilisateurs de WhatsApp sur un forum de piratage bien connu. Cet ensemble de données appartenait à des utilisateurs de 84 pays, les chercheurs estimant que les personnes concernées comprenaient 32 millions d’utilisateurs des États-Unis, 45 millions d’utilisateurs d’Égypte, 35 millions d’utilisateurs d’Italie et 29 millions d’utilisateurs d’Arabie saoudite. Apparemment, le pirate vendait l’ensemble de données américain pour 7 000 $. On pense que le pirate aurait pu obtenir ces informations par le biais de la suppression de données, ce qui est contraire aux conditions d’utilisation de WhatsApp.
5. Uber
Uber, l’un des principaux fournisseurs de services de covoiturage, a subi une brèche massive en septembre 2022 lorsqu’un pirate a obtenu un « ticket d’or ». Un ticket doré signifie que le pirate avait accès à tout au niveau administratif. Le pirate a même averti Uber directement sur son espace de travail interne Slack. Ils ont sécurisé l’accès au tableau de bord Sentinel One et à un compte AWS avec Slack après avoir obtenu les informations d’identification d’un employé via un e-mail de phishing. Le pirate s’est fait passer pour l’équipe informatique d’Uber et a contacté un employé après l’avoir spammé avec des notifications d’authentification push pour 2FA. L’employé a accepté la demande d’authentification et le pirate a réussi à ajouter son appareil pour 2FA. Bien que l’étendue des dommages réels soit inconnue, la déclaration publique d’Uber du 16 septembre 2022, lu que l’incident n’impliquait pas l’accès à des données utilisateur sensibles. Ils avaient informé les forces de l’ordre et tous leurs services fonctionnaient comme prévu.
6. Connexin Software
Connexin Software est une société américaine de développement de logiciels basée en Pennsylvanie qui propose des produits pour les dossiers médicaux électroniques et les systèmes de gestion des patients. La société exerce ses activités sous le nom de Office Practicum et est identifiée comme un «associé commercial» en vertu de la loi HIPAA. Selon la divulgation de l’OCR du 11 novembre 2022, 2,2 millions de personnes ont été touchées par un incident de piratage sur le serveur réseau de l’entreprise. En raison de cette violation, environ 120 cabinets de médecins pédiatres ont été touchés. Une enquête ultérieure a révélé qu’un acteur malveillant avait obtenu un accès non autorisé à un ensemble de données patient hors ligne pour la conversion des données et le dépannage. Les données PHI exposées comprenaient les numéros de sécurité sociale, les informations de facturation et de réclamation, les informations de traitement, les détails de l’assurance maladie et les données démographiques.
7. Groupe de soins de santé Shields
Shields Health est un fournisseur de services chirurgicaux et IRM/CT basé aux États-Unis et situé à Quincy, Massachusetts. Comme Connexin, il est identifié comme un « associé commercial » sous HIPAA. La société a révélé à OCR le 27 mai 2022 que 2 millions d’utilisateurs ont été affectés en raison d’un incident de piratage sur leur serveur réseau. Les pirates ont accédé aux systèmes de l’entreprise du 7 mars 2022 au 21 mars 2022, ce qui a exposé des informations sur les patients, notamment le nom complet, le numéro de sécurité sociale, l’adresse, la date de naissance, les informations sur le fournisseur, les informations de facturation, le diagnostic, les détails de l’assurance maladie et identification du patient, entre autres. Depuis que Shields Health s’est associé à des hôpitaux et des centres médicaux, plus de 50 établissements médicaux ont été touchés.
8. Solana
Solana est une blockchain haute performance qui permet aux créateurs de développer des applications cryptographiques évolutives. En août 2022, plus de 8000 portefeuilles sur Solana ont été touchés, entraînant une perte de 8 millions de dollars pour les propriétaires de portefeuilles. Une enquête initiale a révélé que cet incident s’était produit en raison d’une vulnérabilité dans l’application de portefeuille mobile Slope. Cet incident a affecté les adresses de portefeuille créées, importées ou utilisées dans les applications mobiles de Slope. Les autres portefeuilles de Solana sont restés inchangés, ainsi que les portefeuilles matériels de Slope. Dans l’un des tweets, le compte Twitter de Solana a déclaré qu’il n’y avait aucune preuve que cet incident ait eu un impact sur le protocole Solana ou les mécanismes cryptographiques sous-jacents.
9. Twilio
Twilio est un fournisseur de services basé aux États-Unis pour les API de communication pour les SMS, les appels vocaux, vidéo et l’authentification dont le siège est en Californie. La société a reconnu que les pirates utilisaient l’ingénierie sociale pour inciter les employés à partager leurs identifiants de connexion. Les pirates ont accédé aux données de 125 clients, qui ont une clientèle de plus de 150 000 personnes morales, dont Facebook et Uber. Les pirates ont pu tromper plusieurs employés de Twilio grâce à une campagne de smishing. « Smishing » est un type de campagne de phishing qui utilise des SMS pour forcer les messages texte qui semblent provenir du service informatique de Twilio.
10. DoorDash
DoorDash est un géant de la livraison de nourriture dont le siège est à San Francisco, en Californie. Le 25 août 2022, la société a reconnu dans une déclaration publique que la sécurité des tiers avait été compromise par l’un de ses fournisseurs qui avait subi une attaque de phishing sophistiquée. L’auteur de la menace a accédé aux outils internes de DoorDash via les informations d’identification volées des employés du fournisseur. La société a reconnu que le pirate pouvait accéder au nom, à l’adresse e-mail, au numéro de téléphone et à l’adresse de livraison. Les informations de base sur les commandes et les cartes de paiement partielles ont également été consultées pour un plus petit groupe de consommateurs. Cet incident est lié au même groupe de piratage qui a réussi à cibler Twilio. De plus, ce n’est pas la première fois que l’entreprise est victime d’une violation de données en raison d’un accès non autorisé par un fournisseur de services tiers.
11. Toyota
Toyota, le deuxième constructeur automobile mondial en termes de chiffre d’affaires, a subi une violation de données en octobre de l’année dernière en raison d’une faille de sécurité par un sous-traitant tiers. L’un des sous-traitants de développement de sites Web de Toyota a publié par erreur une partie du code source de l’entreprise sur son compte GitHub public. Un pirate a obtenu des informations d’identification pour l’un de leurs serveurs et a accédé aux adresses e-mail et aux informations de gestion des clients de plus de 2 96 000 clients. Cependant, il semble que Toyota aurait pu avoir un coup de chance car la source a été publiée en décembre 2017 et la clé d’accès est restée publiquement exposée pendant près de 5 ans.
12. Professional Finance Company (PFC)
Basée dans le Colorado, Professional Finance Company (PFC) est l’une des principales sociétés de gestion des comptes débiteurs aux États-Unis. La société identifie les fournisseurs de soins de santé comme l’une de ses principales clientèles et est un «associé commercial» en vertu de la loi HIPAA. Le 1er juillet 2022, il a révélé à l’OCR qu’il avait été victime d’un incident de piratage sur son réseau. Selon les médias, la société a été touchée par une attaque de ransomware en février et plus de 650 prestataires de soins de santé ont été touchés. Les pirates ont volé les noms des patients, les adresses, les informations de compte et le solde impayé de 1,91 million d’utilisateurs. Le pirate a également accédé au numéro de sécurité sociale, à la date de naissance et aux informations de traitement d’un sous-ensemble d’utilisateurs.
13. Centre médical Baptiste
Fondée en 1955 en Floride, Baptist Health est un fournisseur de services de santé via plus de 50 bureaux de soins primaires et cinq hôpitaux aux États-Unis. Dans sa divulgation OCR du 15 juin 2022, la société à but non lucratif a indiqué que plus de 1,6 million d’utilisateurs étaient touchés par un incident informatique avec leur réseau. Le centre médical a déclaré que la brèche avait été découverte le 20 avril 2022, car les systèmes étaient infectés par un code malveillant. L’auteur de la menace a accédé à des systèmes informatiques contenant des informations personnelles telles que le numéro de sécurité sociale, des informations sur l’assurance maladie et des informations médicales. Plus tard cette année-là, le 15 août 2022, le Baptist Medical Center aurait été l’un des hôpitaux touchés en raison d’une violation de données chez Conifer Revenue Cycle Solutions, une société de gestion du cycle des revenus.
14. LastPass
LastPass est une application de gestion de mots de passe renommée avec plus de 33 millions d’utilisateurs individuels et 100 000 entreprises. Fin août 2022, le PDG de l’entreprise a reconnu qu’une partie non autorisée avait accédé à son environnement de développement après avoir compromis un compte de développeur. Le pirate a volé des parties du code source et des informations techniques exclusives. Le 22 décembre 2022, une mise à jour du blog a détaillé que le pirate a utilisé les données volées lors de la violation d’août pour cibler un autre employé et voler les informations d’identification et les clés de son compte. Ces clés incluent une clé d’accès au stockage cloud et des clés de déchiffrement de conteneur de stockage double. En conséquence, le pirate pourrait récupérer les informations client à partir de la sauvegarde. Les informations exposées dans cette violation de données comprenaient les noms d’utilisateur, les informations de facturation, l’adresse e-mail, l’adresse IP et les numéros de téléphone.
15. TransUnion
TransUnion est l’un des trois principaux bureaux de cartes de crédit aux États-Unis. Le 7 novembre 2022, la société a signalé l’incident de violation de données au bureau du procureur général du Massachusetts. La société a signalé qu’un auteur de menaces avait accédé à des informations personnelles sensibles telles que son nom, son numéro de sécurité sociale, son numéro de permis de conduire et son numéro de compte. Comme la violation d’Equifax en 2017 qui a touché 147 millions de clients américains, TransUnion fait maintenant face à un recours collectif qui a été déposé moins d’un mois après que le rapport de violation a révélé que 200 millions de clients américains étaient touchés. Et étant donné qu’ils collectent des informations financières pour plus d’un milliard de personnes dans le monde, il est peu probable que ce soit la dernière fois que TransUnion fasse la une des journaux en matière de sécurité informatique.
16. American Airlines
American Airlines est l’une des principales compagnies aériennes aux États-Unis. La compagnie aérienne a été victime d’une violation de données après qu’un acteur malveillant a accédé à plusieurs comptes d’employés via une attaque de phishing. La société a découvert la violation de données le 5 juillet 2022 et a rapidement sécurisé les comptes de messagerie concernés. Le 26 septembre 2022, la société a envoyé un avis légal au bureau du procureur général du New Hampshire. L’avis indique que l’auteur de la menace a utilisé le protocole IMAP pour faciliter la prise de contrôle du compte de messagerie d’un employé, qui a ensuite été utilisé pour envoyer des e-mails de phishing à d’autres comptes d’employés. Les informations exposées dans cette violation comprennent des informations personnellement identifiables (PII), y compris le nom, la date de naissance, l’adresse, le numéro de téléphone, l’adresse e-mail, le numéro de permis de conduire, les informations de passeport et les informations médicales fournies par les clients.
17. Cloudflare
Suite à l’incident de Twilio, Cloudflare a révélé quelques semaines plus tard que les informations d’identification de ses employés avaient également été volées lors d’une attaque de phishing par SMS. Cette attaque de phishing était similaire à l’incident de Twilio. Alors que les attaquants pouvaient accéder aux comptes des employés de Cloudflare, ils n’ont pas réussi à obtenir une élévation des privilèges pour faciliter le mouvement latéral vers les systèmes informatiques internes, car les attaquants ne disposaient pas des clés de sécurité émises par l’entreprise. Heureusement, en conséquence, les acteurs de la menace ont été empêchés d’accéder aux comptes de connexion des employés.
18. MailChimp
MailChimp, un fournisseur de services de messagerie populaire, a été victime de deux violations de données en 2022. Au moment de la rédaction de cet article, la société de marketing par e-mail avait subi sa troisième violation en douze mois. Lors du premier incident en avril 2022, des pirates ont compromis un outil interne de l’entreprise utilisé par les équipes de support client et d’administration des comptes pour accéder aux comptes clients de MailChimp. Cet accès a été possible grâce à une attaque d’ingénierie sociale réussie. Avant que les mesures nécessaires ne soient prises, l’auteur de la menace a accédé aux données de 300 comptes MailChimp et a exporté avec succès les données d’audience de 102 comptes. Lors du deuxième incident en août 2022, les attaquants ont de nouveau utilisé le phishing et l’ingénierie sociale pour cibler les employés de l’entreprise.
19. The North Face
The North Face est un célèbre détaillant américain de vêtements de plein air dont le siège est en Californie. En septembre 2022, l’entreprise a été confrontée à une attaque de bourrage d’informations d’identification qui a compromis plus de 194 000 comptes. Dans une attaque de credential stuffing, les attaquants utilisent les informations de connexion des précédentes violations de données pour compromettre les comptes dont les propriétaires réutilisent les mêmes informations de connexion sur différents sites Web. Alors que l’entreprise a détecté une activité inhabituelle le 11 août 2022, l’attaque a commencé le 26 juillet 2022. Les informations personnelles exposées dans cette violation de données comprenaient le nom complet, le numéro de téléphone, le sexe, l’historique des achats, les adresses de facturation et d’expédition, les points de fidélité et le compte.
20. Sequoia
Sequoia est un leader des services externalisés de gestion des ressources humaines et de la paie. Leurs services fintech sont répandus dans le monde entier et, aux États-Unis, ils travaillent avec plus de 500 entreprises soutenues par du capital-risque. Dans son rapport de violation déposé auprès du bureau du procureur général de Californie, la société a révélé qu’un acteur menaçant aurait pu accéder à son système de stockage en nuage pendant deux semaines entre le 22 septembre 2022 et le 06 octobre 2022. Les informations exposées dans cette violation incluaient à la fois des données PII et PHI, car les noms, adresses, date de naissance, sexe, adresse matrimoniale, statut d’emploi, cartes d’identité gouvernementales, numéros de sécurité sociale et résultats des tests COVID-19 étaient exposés. La société a refusé de commenter la manière dont cet incident de sécurité s’est produit et le nombre d’utilisateurs touchés par cet incident.
Stratégies de prévention des infractions en 2023
Il n’y a qu’une seule certitude dans le cyberespace en constante évolution : les acteurs de la menace continuent de faire évoluer leurs méthodes et leur sophistication. Comme on l’a vu dans ces incidents de l’année dernière, les attaques de phishing, les risques de sécurité tiers, le déploiement de code non sécurisé et l’exploitation des vulnérabilités existantes sont des thèmes communs.
Pour prévenir les violations en 2023, les organisations peuvent adopter une approche proactive à deux volets.
- Premièrement, ils devraient revoir leurs programmes de formation à la sécurité pour les employés et vérifier s’ils sont efficaces.
- Deuxièmement, les organisations devraient opter pour un pentesting proactif avec des exercices de test de sécurité à la demande avec des programmes intégrés de gestion des vulnérabilités et des correctifs.
C’est là que Cycuri, le leader européen du Pen Testing as a Service (PTaaS), peut renforcer vos équipes internes et étendre les capacités de votre pile technologique de sécurité. PTaaS vous donne des contrôles pour que vous puissiez tester tôt, souvent et au besoin – vous pouvez commencer votre prochain pentest en un jour ouvrable. Avec la plateforme cloud de Cycuri alimentée par l’IA, vous bénéficierez de résultats de pentest accélérés qui sont validés par des pirates certifiés avec des années d’expertise en sécurité offensive. Notre méthodologie exclusive vous offre des tests d’intrusion à la moitié du coût livré en deux fois moins de temps par rapport à d’autres sociétés de test d’intrusion – sans les faux positifs ni les risques de sécurité tiers. Planifiez un appel de découverte dès aujourd’hui et voyez comment PTaaS peut fonctionner pour votre organisation.
