Getty Images/iStockphoto
Mandiant : 63 % des brèches ont été découvertes par des tiers extérieurs en 2022
Mandiant estime que les entreprises réagissent mieux aux notifications que leur adressent des tiers extérieurs. Premier bénéfice : les attaquants restent moins longtemps inaperçus.
Dans l’édition 2023 de son rapport annuel « M-Trends », Mandiant indique que dans 63 % des cas qu’elle a suivis l’année dernière, c’est un tiers externe qui a averti l’organisation concernée d’une violation de sécurité.
Mandiant, spécialiste du renseignement sur les menaces, a été acquis par Google l’année dernière. Son rapport annuel M-Trends se penche notamment sur la découverte des brèches, le comportement des acteurs malveillants, et l’activité des États-nations.
Mandiant relève que ce chiffre de 63 % en 2022 constitue une progression de 16 points par rapport à 2021. Il s’agit de la plus forte proportion depuis 2014. Bien que le terme « tiers extérieur » puisse recouvrir aussi bien les partenaires de sécurité que les adversaires, Mandiant estime que cette augmentation en 2022 est probablement due à ses propres enquêtes proactives sur la menace cyber ciblant l’Ukraine.
D’après Mandiant, les résultats liés aux ransomwares étaient encore plus marquants : dans 70 % des incidents, les victimes ont été informées par des sources externes. Dans ces cas-là, les organisations ont été notifiées par une note de rançon 67 % du temps et par des partenaires de sécurité les autres 33 %.
Selon Mandiant, le temps de résidence, qui correspond au temps pendant lequel un assaillant reste non détecté dans l’environnement de sa victime, a connu une nette amélioration l’an passé, reculant à 16 jours en 2022 contre 21 l’année précédente. Cette amélioration vaut aussi bien pour les cas où l’attaque est découverte en interne (de 18 jours en 2021 à 13 jours en 2022) que pour ceux où elle l’est grâce à une notification de tiers (de 28 jours à 19 jours).
Mais l’amélioration est plus marquée lorsque la découverte survient grâce à une notification de tiers. Et pour Mandiant, cela peut indiquer que les organisations répondent plus rapidement aux notifications externes, « ce qui témoigne d’une reconnaissance croissante du rôle critique des partenariats et de l’échange d’informations dans la création d’un écosystème de cybersécurité résilient ».
En ce qui concerne les attaques avec ransomware, le temps de résidence médian a augmenté de manière générale de cinq jours en 2021 à neuf jours en 2022. Mais l’évolution est plus marquée dans certaines régions que dans d’autres : en Asie-Pacifique, il a doublé, tandis que pour la région en Europe, au Moyen-Orient et Afrique, il a augmenté de 89 %.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Ransomware : tout comprendre des revendications des cybercriminels
-
Ransomware : des identifiants compromis aux avant-postes de près de 40 % des attaques
-
Cybersécurité : le temps de présence des attaquants diminue, le nombre de ransomwares augmente
-
Une vulnérabilité de VMware à l’automne… déjà exploitée en 2021