Cette édition du Cloud and Threat report 2022 de Netskope fait une rétrospective de l’année dernière et observe les tendances dans l’adoption du cloud et les menaces pesant sur le web et dans le cloud. La firme a recueilli ces données client anonymisées à travers sa plateforme Netskope Security Cloud, du 1er janvier au 9 décembre 2022. Ces statistiques nous renseignent sur les tactiques des pirates, le comportement des utilisateurs et les politiques des organisations.

---

En entreprise, Microsoft OneDrive reste la suite d’outils la plus sollicitée, le plus grand changement étant le nombre d’utilisateurs qui uploadent des données vers ce cloud ou d’autres. Même si le travail à distance est en léger recul, son niveau reste plus élevé que celui d’avril 2020, et témoigne de la nécessité de fournir aux collaborateurs d’une entreprise un accès sécurisé à ses données et au cloud.

Malgré une certaine stabilisation en 2021, la diffusion de malwares via les téléchargements d’applications a été en constante hausse en 2022. Microsoft OneDrive étant l’un des produits les plus populaires en entreprise, il a été la cible et le vecteur de malwares le plus prisé en 2022. 

Les tentatives d’hameçonnage, de scam et de falsification de sites n’ont cessé d'augmenter et ont rendu difficiles les techniques habituelles de catégorisation et de filtrage des URL.

 

Microsoft 365 domine le monde de l’entreprise

En 2021, comme en 2022, Microsoft OneDrive, Teams et Sharepoint étaient les applications les plus populaires. Microsoft OneDrive voit une hausse de 5 % de ses utilisateurs qui transfèrent du contenu vers son cloud. 

Sa popularité varie selon les secteurs mais Microsoft OneDrive s’inscrit en permanence dans le haut du classement. Son meilleur score est  57 % dans la finance, et son plus mauvais, 27 % dans la santé. La solution de MS est plus ou moins populaire selon les zones géographiques : elle domine à 52 % en Australie contre 33 % en Europe.

Cette large adoption d’outils cloud, à des fins professionnelles et personnelles, représente un danger pour les informations de l’entreprise. Limiter le recours aux applications sans finalité professionnelle est un premier pas pour limiter les risques d’exposition.

 

Le travail à distance continue pour les professions intellectuelles

Le Netskope Threat Labs a observé, suite à la généralisation du télétravail due au Covid 19, une augmentation notable de la dispersion des utilisateurs, c'est-à-dire, le rapport entre le nombre d'utilisateurs sur la plateforme et le nombre de lieux d'où provient leur trafic, est passé de 26 à 66 % en 2020. Ce chiffre a culminé à 78 % avant de redescendre à 66 % fin 2022.

Du point de vue géographique, l’Asie est la zone qui possède le plus grand taux de dispersion, atteignant quasiment 100 % en 2021. Mais c’est aussi celle qui enregistre la plus grande chute. Les taux des autres régions restent stables, variant entre 55 et 65 %.

On observe plus de fluctuations en examinant les secteurs d’activité. D’un côté, le secteur technologique, témoigne du taux de dispersion le plus élevé  malgré de légers reculs, et à l’opposé, se trouve le secteur de la santé, malgré de faibles hausses. La diminution la plus remarquable concerne la vente au détail avec une baisse de 85 à 60 % entre 2021 et 2022.

Le travail à distance et le travail hybride apportent de nouveaux enjeux  de cybersécurité. La question étant : comment garantir un accès sécurisé à distance aux ressources dont les collaborateurs ont besoin pour travailler, et cela à l’échelle ? Netskope suggère sur ce point l’utilisation d’un Zero Trust Network Access (ZTNA) ou d’une Secure Web Gateway (SWG) associé à un pare-feu. 

 

Les malwares diffusés par le cloud reprennent du poil de la bête

En 2022, les téléchargements de malwares ont augmenté de 10 % par rapport à 2021.

Au cours du dernier trimestre, 48 % des téléchargements de malwares provenaient d’applications cloud, telles que Microsoft OneDrive, et les 52 % restants de sites web traditionnels. En tout, 401 applications cloud repérées par Netskope étaient porteuses de malwares, soit 2,9 % de plus qu’en 2021.

En 2022, presque un téléchargement de malware sur trois provenait de Microsoft OneDrive. Cette statistique est révélatrice des tactiques des pirates, des habitudes des utilisateurs et des politiques d'entreprise. En effet, pour permettre une telle diffusion, le malware doit avoir été uploadé sur le cloud, l’utilisateur doit avoir été convaincu de le télécharger et la politique de l'entreprise doit laisser l'utilisateur accéder au fichier. 

C’est sa popularité qui dessert OneDrive dans ce cas. Ce service était déjà en tête des classements en 2021 sur le même point, mais dépassait de peu Sharepoint, SourceForge et Azure Blob Storage.

Les applications se trouvant en tête de liste le sont généralement en raison de leur popularité en entreprise, mais aussi parce qu’elles offrent des services d’hébergement, des webmails et/ou des espaces de stockage cloud gratuits. Non seulement elles sont populaires mais leur gratuité offre une occasion en or d’attaquer à moindre coût !

Pour se protéger, Netskope conseille d’inspecter tout le trafic HTTP/HTTPS à la recherche de contenu malicieux. On peut également restreindre le téléchargement d'applications ayant peu de lien avec le travail quotidien des collaborateurs, en particulier les EXE, DLL, BAT, REG, ISO et LNK, cibles privilégiées des attaquants.

 

Les malwares diffusés par le cloud : un défi mondial

Les plus fortes hausses régionales de téléchargement de malwares concernent l'Australie et l’Europe, alors que l'Amérique du nord enregistre la plus forte baisse, ce qui ne l’empêche pas de rester en tête des régions frappées par ce phénomène, Microsoft OneDrive étant le vecteur le plus important. 

L’analyse sectorielle révèle que les téléchargements de malwares ont concerné plus  largement la santé, l’industrie et les télécommunications. Malgré une forte hausse, l’industrie possède tout de même le taux le plus bas de téléchargement de malwares, tous secteurs confondus.

Même si OneDrive reste en tête, Google Drive s’est démarqué dans la vente au détail et Azure Blob dans la santé.

 

Les contenus malveillants se cachent partout sur le web

La première partie de l’étude se focalise sur les malwares téléchargés via le cloud sous la forme de fichiers EXE et DLL. La seconde, elle, porte sur les documents utilisés comme vecteurs d’attaque. Leur nombre est en recul de 20 points par rapport à 2021. En revanche, le nombre de PDF et de fichiers textes malveillants augmente considérablement.

Autre point abordé dans cette section : les contenus web malveillants (pages d'hameçonnage, escroqueries, de cartes de crédit, mineurs de bitcoins, téléchargements à la volée, contrebande HTML, kits d'exploitation, etc.)

“Mais où est donc hébergé tout ce contenu malicieux ?” 

Dans le top 10, on trouve deux catégories loin d’être inattendues : les sites non catégorisés et les sites marketing. Les premiers sont des sites qui ont été peu visités ou qui contiennent si peu de contenu qu’ils ne peuvent être catégorisés. Les sites marketing, eux, contiennent des publicités qui sont visées par les attaquants, transformant du simple advertising en malvertising. 

Ces deux catégories totalisent 13,6 % des sites au contenu malveillant, le reste se distribuant sur les autres sites sans catégorie dominante. Les attaquants placent le contenu malveillant sur le site une fois qu’il est présent depuis assez longtemps pour paraître légitime. Ce faisant, ils abusent des possibilités d'hébergements gratuits et compromettent des sites déjà existants.

---

Pour mieux vous protéger, Netskope conseille d’utiliser un mélange de techniques et technologies : le blocage du contenu publicitaire, des sites non catégorisés, des nouveaux domaines enregistrés et des nouveaux domaines observés. 

En outre, le RBI (Remote Browser Isolation) peut aider à réduire les risques. Une SWG, dont le travail est d’inspecter et de bloquer le contenu malveillant de toute source, vous permettra de réduire les risques de contenu malveillant connu et inconnu. Un bloqueur de script empêchera les scripts Javascript d’être exécutés sur votre machine. 

Quels que soient les moyens techniques et technologiques à votre disposition pour limiter les incidents de sécurité, gardez en tête que vos collaborateurs constituent votre première ligne de défense. Leur sensibilisation et leur formation aux risques sont au cœur de votre sécurité. À ce sujet, vous pouvez consulter notre article sur les bonnes pratiques à adopter en matière de cybersécurité.

 

Sources : 

https://www.netskope.com/netskope-threat-labs/cloud-threat-report

https://fr.techtribune.net/securite/les-pirates-utilisent-de-plus-en-plus-la-contrebande-html-dans-les-attaques-de-logiciels-malveillants-et-de-phishing/201622/

https://attack.mitre.org/techniques/T1027/006/

https://www.crowdstrike.fr/cybersecurity-101/malware/malvertising/