Au sens le plus simple, une menace de cybersécurité, ou cybermenace, est une indication qu'un pirate informatique ou un acteur malveillant tente d'accéder sans autorisation à un réseau dans le but de lancer une cyberattaque.

Les cybermenaces peuvent aller des plus évidentes, comme un e-mail d'un potentat étranger offrant une petite fortune si vous fournissez simplement votre numéro de compte bancaire, aux plus sournoises, comme une ligne de code malveillant qui se faufile au-delà des cyberdéfenses et vit sur le terrain. réseau pendant des mois ou des années avant de déclencher une violation de données coûteuse. Plus les équipes de sécurité et les employés connaissent les différents types de menaces de cybersécurité, plus ils peuvent prévenir, préparer et répondre efficacement aux cyberattaques.

Malware

Malware— abréviation de « logiciel malveillant » — est un code logiciel écrit intentionnellement pour nuire à un système informatique ou à ses utilisateurs.

Presque tous les modernes cyberattaque implique un certain type de malware. Les auteurs de menaces utilisent des attaques de logiciels malveillants pour obtenir un accès non autorisé et rendre les systèmes infectés inutilisables, détruisant des données, volant des informations sensibles et même effaçant des fichiers critiques pour le système d'exploitation.

Les types courants de logiciels malveillants incluent :

• Ransomware verrouille les données ou l'appareil d'une victime et menace de le garder verrouillé ou de le divulguer publiquement, à moins que la victime ne paie une rançon à l'attaquant. Selon le Indice IBM Security X-Force Threat Intelligence 2023, les attaques de ransomware représentaient 17 % de toutes les cyberattaques en 2022.
• A cheval de Troie est un code malveillant qui incite les gens à le télécharger en se faisant passer pour un programme utile ou en se cachant dans un logiciel légitime. Citons par exemple les chevaux de Troie d'accès à distance (RAT), qui créent une porte dérobée secrète sur l'appareil de la victime, ou les chevaux de Troie dropper, qui installent des logiciels malveillants supplémentaires une fois qu'ils ont pris pied sur le système ou le réseau cible.
• Spyware est un malware hautement secret qui rassemble des informations sensibles, telles que des noms d'utilisateur, des mots de passe, des numéros de carte de crédit et d'autres données personnelles, et les transmet à l'attaquant à l'insu de la victime.
• Worms sont des programmes auto-répliquants qui se propagent automatiquement aux applications et aux appareils sans interaction humaine.

En savoir plus sur les logiciels malveillants

Ingénierie sociale et phishing

Fréquemment appelé « piratage humain », ingénierie sociale manipule les cibles pour qu'elles prennent des mesures qui exposent des informations confidentielles, menacent leur propre bien-être financier ou celui de leur organisation, ou compromettent d'une manière ou d'une autre la sécurité personnelle ou organisationnelle.

Phishing est la forme d’ingénierie sociale la plus connue et la plus répandue. Le phishing utilise des e-mails frauduleux, des pièces jointes, des messages texte ou des appels téléphoniques pour inciter les gens à partager des données personnelles ou des identifiants de connexion, à télécharger des logiciels malveillants, à envoyer de l'argent à des cybercriminels ou à prendre d'autres mesures susceptibles de les exposer à la cybercriminalité.

Les types courants de phishing comprennent :

• Hameçonnage— des attaques de phishing très ciblées qui manipulent une personne spécifique, utilisant souvent les détails des profils publics de la victime sur les réseaux sociaux pour rendre l'arnaque plus convaincante.
• Hameçonnage des baleines– le spear phishing qui cible les dirigeants d’entreprise ou les particuliers fortunés.
• Compromis des e-mails professionnels (BEC)— des escroqueries dans lesquelles les cybercriminels se font passer pour des dirigeants, des fournisseurs ou des associés commerciaux de confiance pour inciter les victimes à transférer de l'argent ou à partager des données sensibles.

Une autre arnaque courante par ingénierie sociale est usurpation de nom de domaine (également appelé usurpation DNS), dans lequel les cybercriminels utilisent un faux site Web ou un faux nom de domaine qui usurpe l'identité d'un vrai (par exemple, « applesupport.com » pour support.apple.com) pour inciter les gens à saisir des informations sensibles. Les e-mails de phishing utilisent souvent des noms de domaine d'expéditeur usurpés pour rendre l'e-mail plus crédible et légitime.

Attaque de l'homme du milieu (MITM) 

Dans une attaque de l'homme du milieu, un cybercriminel écoute une connexion réseau pour intercepter et relayer des messages entre deux parties et voler des données. Les réseaux Wi-Fi non sécurisés constituent souvent un terrain de chasse privilégié pour les pirates informatiques souhaitant lancer des attaques MITM.

Attaque par déni de service (DoS)

Une attaque par déni de service est une cyberattaque qui submerge un site Web, une application ou un système avec des volumes de trafic frauduleux, le rendant trop lent à utiliser ou totalement indisponible pour les utilisateurs légitimes. Une attaque par déni de service distribué, ou attaque DDoS, est similaire, sauf qu'elle utilise un réseau d'appareils ou de robots connectés à Internet et infectés par des logiciels malveillants, appelé botnet, pour paralyser ou faire planter le système cible. 

Exploits du jour zéro 

A exploit du jour zéro est un type de cyberattaque qui tire parti d'une vulnérabilité Zero Day, c'est-à-dire une faille de sécurité inconnue ou non encore corrigée ou non corrigée dans un logiciel, un matériel ou un micrologiciel informatique. « Jour zéro » fait référence au fait qu'un fournisseur de logiciels ou d'appareils ne dispose que de « zéro jour » (ou pas de temps) pour corriger les vulnérabilités, car des acteurs malveillants peuvent déjà les utiliser pour accéder aux systèmes vulnérables.

L'une des vulnérabilités zero-day les plus connues est Log4Shell, une faille dans le très utilisé Apache log4j bibliothèque de journalisation. Au moment de sa découverte en novembre 2021, la vulnérabilité Log4Shell existait sur 10 % des actifs numériques mondiaux, y compris de nombreuses applications Web, services cloud et points de terminaison physiques comme les serveurs.

En savoir plus sur la détection et la correction d'une vulnérabilité Log4j

Attaque par mot de passe

Comme leur nom l'indique, ces attaques impliquent des cybercriminels qui tentent de deviner ou de voler le mot de passe ou les informations de connexion au compte d'un utilisateur. De nombreuses attaques par mot de passe utilisent l’ingénierie sociale pour inciter les victimes à partager involontairement ces données sensibles. Cependant, les pirates peuvent également recourir à des attaques par force brute pour voler des mots de passe, en essayant à plusieurs reprises différentes combinaisons de mots de passe populaires jusqu'à ce que l'une d'elles réussisse.

Attaque sur l'Internet des objets (IOT)

Lors d'une attaque IoT, les cybercriminels exploitent les vulnérabilités des appareils IoT, tels que les appareils domestiques intelligents et les systèmes de contrôle industriels, pour prendre le contrôle de l'appareil, voler des données ou utiliser l'appareil dans le cadre d'un botnet à d'autres fins malveillantes.

Attaques par injection

Dans ces attaques, les pirates injectent du code malveillant dans un programme ou téléchargent des logiciels malveillants pour exécuter des commandes à distance, leur permettant ainsi de lire ou de modifier une base de données ou de modifier les données d'un site Web.

Il existe plusieurs types d'attaques par injection. Deux des plus courants incluent :

• Attaques par injection SQL— lorsque les pirates exploitent la syntaxe SQL pour usurper l'identité ; exposer, falsifier, détruire ou rendre indisponibles les données existantes ; ou devenez l'administrateur du serveur de base de données.
• Scripts intersites (XSS)-ce type d'attaques est similaire aux attaques par injection SQL, sauf qu'au lieu d'extraire des données d'une base de données, elles infectent généralement les utilisateurs qui visitent un site Web.

Sources des menaces de cybersécurité

Les sources des cybermenaces sont presque aussi variées que les types de cybermenaces. De nombreux auteurs de menaces ont des intentions malveillantes, tandis que d’autres, comme les pirates informatiques éthiques ou les menaces internes involontaires, ont des intentions positives ou, à tout le moins, neutres.

Connaître les motivations et les tactiques des différents acteurs de la menace est essentiel pour les arrêter net ou même les utiliser à votre avantage.

Certains des auteurs de cyberattaques les plus connus comprennent :

Les cybercriminels

Ces individus ou groupes commettent des cybercrimes, principalement pour obtenir un gain financier. Les crimes courants commis par les cybercriminels comprennent les attaques de ransomware et les escroqueries par phishing qui incitent les gens à effectuer des transferts d'argent ou à divulguer des informations de carte de crédit, des identifiants de connexion, des propriétés intellectuelles ou d'autres informations privées ou sensibles. 

Hackers

Un pirate informatique est une personne possédant les compétences techniques nécessaires pour compromettre un réseau ou un système informatique.

Gardez à l’esprit que tous les pirates ne sont pas des auteurs de menaces ou des cybercriminels. Par exemple, certains pirates informatiques, appelés pirates éthiques, se font essentiellement passer pour des cybercriminels pour aider les organisations et les agences gouvernementales à tester leurs systèmes informatiques pour détecter les vulnérabilités aux cyberattaques.

Acteurs de l'État-nation

Les États-nations et les gouvernements financent fréquemment les auteurs de menaces dans le but de voler des données sensibles, de collecter des informations confidentielles ou de perturber l'infrastructure critique d'un autre gouvernement. Ces activités malveillantes incluent souvent l'espionnage ou la cyberguerre et ont tendance à être fortement financées, ce qui rend les menaces complexes et difficiles à détecter. 

Menaces internes

Contrairement à la plupart des autres cybercriminels, les menaces internes ne proviennent pas toujours d’acteurs malveillants. De nombreux internes nuisent à leur entreprise à cause d’erreurs humaines, comme l’installation involontaire de logiciels malveillants ou la perte d’un appareil fourni par l’entreprise qu’un cybercriminel trouve et utilise pour accéder au réseau.

Cela dit, des initiés malveillants existent. Par exemple, un employé mécontent peut abuser de ses privilèges d'accès pour obtenir un gain monétaire (par exemple, paiement d'un cybercriminel ou d'un État-nation), ou simplement par méchanceté ou vengeance.

Garder une longueur d'avance sur les cyberattaques

Mots de passe forts, les outils de sécurité de la messagerie électronique et les logiciels antivirus constituent tous des premières lignes de défense essentielles contre les cybermenaces.

Les organisations s'appuient également sur des pare-feu, des VPN, authentification multi-facteurs, formation de sensibilisation à la sécurité et autres sécurité des terminaux ainsi que la sécurité du réseau solutions pour se protéger contre les cyberattaques.

Cependant, aucun système de sécurité n'est complet sans des capacités de pointe de détection des menaces et de réponse aux incidents permettant d'identifier les menaces de cybersécurité en temps réel et d'aider à isoler et à corriger rapidement les menaces afin de minimiser ou de prévenir les dommages qu'elles peuvent causer.

IBM Security® QRadar® SIEM applique l'apprentissage automatique et l'analyse du comportement des utilisateurs (UBA) au trafic réseau aux côtés des journaux traditionnels pour une détection plus intelligente des menaces et une correction plus rapide. Dans une récente étude Forrester, QRadar SIEM a aidé les analystes de sécurité à gagner plus de 14,000 90 heures sur trois ans en identifiant les faux positifs, à réduire de 60 % le temps passé à enquêter sur les incidents et à réduire de XNUMX % leur risque de subir une grave faille de sécurité.* Avec QRadar Les équipes de sécurité SIEM, aux ressources limitées, disposent de la visibilité et des analyses dont elles ont besoin pour détecter rapidement les menaces et prendre des mesures immédiates et éclairées pour minimiser les effets d'une attaque.

En savoir plus sur IBM QRadar SIEM

l'onglet Total Economic Impact™ d'IBM Security QRadar SIEM est une étude commandée menée par Forrester Consulting pour le compte d'IBM, en avril 2023. Basée sur les résultats projetés d'une organisation composite modélisée à partir de 4 clients IBM interrogés. Les résultats réels varient en fonction des configurations et des conditions du client et, par conséquent, les résultats généralement attendus ne peuvent pas être fournis.