L'évolution de la cybercriminalité pèse lourdement sur les équipes d'investigation numérique et de réponse aux incidents (DFIR), entraînant un épuisement professionnel important et un risque réglementaire potentiel. C'est ce qu'indique l'enquête State of Enterprise DFIR 2023 réalisée par Magnet Forensics. L'entreprise a interrogé 492 professionnels du DFIR en Amérique du Nord et en Europe, au Moyen-Orient et en Afrique travaillant dans des entreprises de secteurs variés (technologie, fabrication, secteur public, télécommunications, soins de santé...). Les répondants ont décrit le paysage actuel de la cybercriminalité comme évoluant au-delà des rançongiciels et affectant leur capacité à enquêter sur les menaces et les incidents, indique Magnet Forensics.

Des équipes stressées et épuisées

Plus de la moitié (54 %) des professionnels du DFIR interrogés ont déclaré se sentir épuisés dans leur travail. Pour 64 %, l'excès d'alerte contribue à cette fatigue. L'augmentation des enquêtes et des données qui y sont associées est un problème « important » ou « extrême » pour les entreprises, selon 45 % des personnes interrogées, tandis que 42 % ont cité l'évolution des techniques de cyberattaque comme un problème « important » ou « extrême ». Cela représente une augmentation de 50 % par rapport au rapport DFIR 2022. « Une conséquence très réelle est qu'il faut trop de temps pour identifier la cause profonde des attaques », indique le rapport de 2023. « Cela peut entraîner des conséquences plus coûteuses et plus longues pour les sociétés tout en rendant plus difficile les leçons à tirer de ces attaques et la préparation à de futurs incidents ». La plupart des structures représentées dans l'enquête sont donc plus susceptibles d'externaliser ces tâches.

Le stress et l'épuisement professionnel ont un impact sur les équipes de cybersécurité depuis un certain nombre d'années, des recherches de 2022 soulignant l'effet de la surcharge d'informations et de l'exténuation sur les performances du SOC. Les répondants de Magnet Forensics ont généralement convenu que les difficultés de recrutements, mais aussi les problèmes d'intégration et le manque d'automatisation constituent des facteurs supplémentaires à l'accablement général. Un investissement accru dans l'automatisation est jugé « très » ou « extrêmement » précieux pour une gamme de fonctions DFIR, y compris l'acquisition à distance des endpoints cibles et le traitement des preuves numériques, ont déclaré la moitié des répondants.

Des entreprises face aux risques réglementaires

Les pratiques d'orchestration, d'automatisation et de réponse aux incidents de sécurité informatique (SOAR) sont déjà en place dans de nombreux SOC note le rapport. « Bien qu'elles soient importantes pour le confinement et la correction des menaces, ces activités liées aux runbooks sont distinctes de celles effectuées par les solutions d'automatisation du forensic, qui exécutent un pipeline de transformation des données en orchestrant, automatisant, exécutant et surveillant les flux de travail forensics », a-t-il ajouté. Reste que ces outils doivent être mieux adaptés pour être compatibles avec l'orchestration des services d'alertes et de réponses à incident déjà mis à place.

Les pressions de la charge de travail du DFIR exposent les entreprises à des risques réglementaires accrus, en particulier les règles relatives au signalement des incidents. Les deux tiers (67 %) des répondants ont déclaré que leur rôle avait été impacté par les récentes législations en matière de signalement, mais près de la moitié (46 %) ont déclaré qu'ils n'avaient pas le temps de comprendre les réglementations en matière de cybersécurité en raison de leur charge de travail. « Idéalement, les réglementations devraient être lues et interprétées par des professionnels du droit qui peuvent les traduire en informations claires et exploitables pour les praticiens du DFIR », peut-on lire dans le rapport. « S'il n'est pas possible d'obtenir une interprétation juridique officielle, les dirigeants du DFIR doivent s'assurer que les équipes disposent des ressources dont elles ont besoin pour lire et assimiler les informations, en complément d'un accès limité à un conseiller juridique pour des exigences particulièrement déroutantes », a-t-il ajouté.

Exfiltration de données et compromission de mails, incidents les plus courants

L'exfiltration de données/vol d'IP est l'incident de sécurité le plus fréquemment rencontré par les personnes interrogées, 35 % des répondants indiquant que leur structure rencontre ce type d'incident de sécurité « assez » ou « très » fréquemment. La compromission des e-mails professionnels (BEC) est la deuxième plus courante (34 %) et se produit désormais plus fréquemment que les ransomwares, qui étaient la menace de sécurité numéro 1 dans le rapport de l'année dernière. Cependant, les terminaux infectés par des ransomwares ont toujours le plus grand impact sur les organisations, selon l'enquête.

L'évolution des menaces BEC est une tendance notable. En janvier, des chercheurs en sécurité ont démontré comment le chatbot ChatGPT peut servir à rendre les attaques d'ingénierie sociale telles que les escroqueries BEC plus difficiles à détecter et plus faciles à réaliser. La technologie pour générer des variations uniques du même leurre de phishing avec un texte écrit grammaticalement correct et de type humain, mais ils peuvent créer des chaînes d'e-mails entières pour les rendre plus convaincants et peuvent même générer des messages en utilisant le style d'écriture de personnes réelles sur la base d'échantillons. En août 2022, les escrocs BEC ont contourné l'authentification multifacteurs (MFA) Microsoft 365 pour accéder au compte d'un dirigeant d'entreprise avant d'ajouter un deuxième dispositif d'authentification pour un accès persistant. Selon les chercheurs, la campagne était généralisée et ciblait de grosses transactions pouvant atteindre plusieurs millions de dollars chacune.