Bilan semestriel : les principaux défis de sécurité et de conformité de 2024 jusqu'à présent

Par Phil Muncaster • 2 juillet 2024

En avril, le le gouvernement nous a dit que la moitié des entreprises britanniques ont subi une violation au cours des 12 mois précédents, ce chiffre étant encore plus élevé pour les moyennes (70 %) et les grandes entreprises (74 %). L’étude a révélé que les bases de la cyber-hygiène, de la gestion des risques et de la chaîne d’approvisionnement ainsi que de la réponse aux incidents font encore défaut dans une part inquiétante de ces organisations.

Mais qu’en est-il des six derniers mois ? Nous n'en sommes qu'à la moitié de l'année, mais certains thèmes importants sont déjà apparus et domineront probablement le discours sur la sécurité et la conformité en 2024. Nos cinq principaux sont :

Le NVD est en crise

L’exploitation des vulnérabilités est de nouveau à la mode. Mandiant prétentions 38 % des intrusions en 2023 ont commencé ainsi, soit une augmentation annuelle de six points de pourcentage. C'est une mauvaise nouvelle pour les défenseurs des réseaux car, sans doute, la source d'informations sur les vulnérabilités la plus importante au monde – la base de données nationale sur les vulnérabilités (NVD) du NIST – a été effectivement paralysé pour plusieurs mois. En tant que référentiel standardisé de données CVE enrichies, il est devenu un élément crucial des processus automatisés de gestion des correctifs et des vulnérabilités de nombreuses entreprises, ainsi que des outils de sécurité. UN ralentissement soudain le traitement des CVE depuis février a obligé les équipes de sécurité à se démener pour trouver des sources de renseignement alternatives.

Verizon affirme que les détections d'exploitation de vulnérabilités en tant que vecteur d'accès initial pour les violations de données ont augmenté de 180 % d'une année sur l'autre (YoY) en 2023. Cela représente désormais 14 % de toutes les violations, ce qui signifie que les équipes de sécurité doivent réfléchir de toute urgence à des sources supplémentaires de CVE. des informations, comme le Programme CVE, ainsi que des renseignements améliorés sur les menaces et d’autres tactiques.

Les ransomwares vont de mal en pis

En janvier dernier, le National Cyber Security Center (NCSC) averti que les ransomwares « augmenteraient presque certainement le volume et l’impact des cyberattaques au cours des deux prochaines années ». Il a accordé une attention particulière aux ransomwares, affirmant que l’IA apporterait un « coup de pouce » aux attaquants en matière d’ingénierie sociale et de reconnaissance. En d’autres termes, la technologie de l’IA sera mise à contribution pour créer des contenus de phishing très convaincants, difficiles à détecter, et rechercher les vulnérabilités connues dans les organisations ciblées. Le État du SMSI du Rapport sur la sécurité de l'information 2024 révélé que 29 % des organisations ont subi une attaque de ransomware au cours de l'année écoulée.

Il n’est pas clair si l’IA est déjà utilisée de cette manière. Pourtant, jusqu’à présent cette année, les groupes de ransomwares sont passés à l’offensive, malgré des victoires isolées des forces de l’ordre en matière de perturbation. Verrouillageet forcer BlackCat/ALPHV se dissoudre. Les organisations de soins de santé ont une fois de plus été les premières victimes. Premièrement, ce sont les fournisseurs américains Changer de santé et Ascension– le premier s’attendait à enregistrer des coûts de plus d’un milliard de dollars liés à l’attaque. Le NHS England a été durement touché après que la souche du ransomware Qilin ait retiré un fournisseur. Cela a d'abord forcé l'annulation de plus de 800 opérations planifiées et de 700 rendez-vous ambulatoires.

Étant donné que les auteurs de ransomwares parviennent généralement à leurs fins via des vecteurs d’attaque relativement simples (compromission RDP, phishing, exploitation de vulnérabilités), il semble que les organisations doivent continuer à se concentrer sur les bases pour rester en sécurité.

Les appareils Edge subissent des coups

La frontière semble être la nouvelle frontière des cyberattaques parrainées par les États. Le NCSC a été l'un des premiers à émettre un avertissement cette année, affirmant que Les acteurs malveillants ciblent de plus en plus les produits basés sur le périmètre (comme les applications de transfert de fichiers, les pare-feu, les VPN et les équilibreurs de charge) après des améliorations dans la conception des logiciels clients. Ils constituent une cible idéale, car le code est moins susceptible d'être sécurisé de par sa conception que le logiciel client, ce qui facilite l'exploitation des bogues, et il y a un manque de journalisation efficace sur les appareils périphériques, a affirmé le NCSC.

En conséquence, nous avons assisté à un tsunami d'attaques de ransomwares et de cyberespionnage au cours des six derniers mois, notamment l'exploitation massive d'Ivanti. Connexion sécurisée et politique sécurisée passerelles, Appareils FortiGate, et un héritage Appareil F5 BIG-IP. Un récent rapport Action1 a révélé un taux d'exploitation record pour les équilibreurs de charge de 2021 à 23, tandis qu'un autre fournisseur revendiqué le nombre de CVE liés aux services et infrastructures de pointe a augmenté de 22 % entre 2023 et depuis le début de l’année 2024.

Le NCSC exhorte les organisations à passer des produits de périmètre hébergés sur site aux produits de périmètre hébergés dans le cloud et à utiliser des pare-feu pour bloquer toutes les « interfaces, portails ou services de logiciels Internet » inutilisés.

Boule de neige des risques liés à l’Open Source

Les risques liés à l’utilisation de logiciels open source sont compris depuis un certain temps. Les acteurs malveillants cachent de plus en plus les logiciels malveillants dans des composants tiers et les placent dans des référentiels officiels dans l'espoir qu'un développeur pressé par le temps les télécharge. Cependant, en avril, une situation encore plus une menace insidieuse a été découverte après une découverte accidentelle : un effort sophistiqué de plusieurs années pour infiltrer et implanter un malware de porte dérobée dans un composant open source populaire connu sous le nom de xz Utils. Le groupe à l'origine du projet s'est donné beaucoup de mal pour cacher ses activités malveillantes tout en incitant socialement le responsable d'origine, Lasse Collin, à intégrer son personnage de développeur en tant que contributeur « de confiance ».

La mauvaise nouvelle pour les équipes de sécurité est que de multiples efforts de copie ont depuis été découverts, faisant potentiellement allusion à une crise croissante de l’open source. Quelque 79 % des répondants d'ISMS.online a parlé pour dire leur activité a été impactée au cours de l'année écoulée par un incident de sécurité provoqué par un fournisseur tiers ou un partenaire de la chaîne d'approvisionnement. À l’avenir, un examen approfondi des chaînes d’approvisionnement en logiciels, notamment des nomenclatures (SBOM), une analyse régulière des vulnérabilités et des politiques de gouvernance plus rigoureuses seront nécessaires.

Les problèmes de conformité se multiplient

Pour citer à tort Benjamin Franklin, rien dans ce monde n’est certain, à l’exception de la mort, des impôts et des nouvelles obligations de conformité. Ainsi 2024 l’a prouvé, avec le lancement du Loi de l'UE sur l'IA, un nouvelle loi sur la sécurité de l'IoT au Royaume-Uni, propositions pour un nouveau Royaume-Uni règles de sécurité du datacenter, un Système européen de certification de cybersécurité, et bien plus encore. Les organisations ont également vu passer la date limite de mise en conformité pour la norme PCI DSS 4.0 en mars et sont actuellement occupées à se préparer pour NIS 2.

Beaucoup ont du mal à gérer la charge de travail. Allégations de la recherche ISACA que les programmes de protection de la vie privée, en particulier, sont sous-financés et en manque de personnel. Les outils et processus existants n’aident pas non plus.

La conformité aux meilleures pratiques du secteur peut constituer une base solide pour la mise en œuvre de programmes de conformité réglementaire dans des domaines tels que la sécurité de l'information (ISO 27001) et l'IA (ISO 42001). Mais alors qu'ISMS.online constate que 59 % des organisations prévoient d'augmenter leurs dépenses dans de tels programmes au cours de l'année à venir, près de la moitié (46 %) déclarent qu'il faut 6 à 12 mois pour se conformer à la norme ISO 27001. 11 % affirment qu'il faut 12 mois. -18 mois. Avec le bon ensemble d’outils intuitifs et préconfigurés, cela ne devrait pas être aussi difficile.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster