Selon l'indice Cyber Threat Index de l’assureur en cybersécurité Coalition, il y aura 1 900 vulnérabilités et expositions communes (Common Vulnerabilities and Exposures, CVE) critiques en moyenne par mois en 2023, soit une augmentation de 13 % par rapport à 2022. Ces prévisions ont été établies à partir des données recueillies au cours des dix dernières années par la technologie de gestion et de réduction actives des risques de Coalition, en combinant des données provenant de la souscription et des sinistres, des analyses sur Internet, de son réseau mondial de honeypots - ou pots de miel - et de l'analyse de plus de 5,2 milliards d'adresses IP. Selon le rapport, les 1 900 CVE comprendraient 270 vulnérabilités de haute gravité et 155 de gravité critique.
« Pour la plupart des CVE, le délai d'exploitation se situe dans les 90 jours suivant la divulgation publique, tandis que la majorité des exploitations ont lieu dans les 30 premiers jours », indique le rapport de Coalition. « Nous avons construit cette prédiction à l'aide d'un modèle appelé Seasonal AutoRegressive Integrated Moving Average. Nous avons analysé les données sur les vulnérabilités et la saisonnalité sur une période de plus de 10 ans pour prédire le nombre, le type et la criticité des nouvelles CVE que nous pourrions observer en 2023. Sur la base de notre modélisation, nous prévoyons que le nombre de vulnérabilités continuera à augmenter », a déclaré l’assureur. Les pots de miel de Coalition ont observé 22 000 cyberattaques afin de mieux comprendre les techniques des attaquants.
Au moins un service non chiffré dans 94 % des entreprises
Par ailleurs, le rapport indique qu’environ 94% des entreprises scannées en 2022 avaient au moins un service non chiffré exposé à lnternet. Le protocole de bureau à distance Remote Desktop Protocol (RDP) reste celui le plus couramment scanné par les cyberattaquants, ce qui montre que ces derniers préfèrent toujours tirer parti des anciens protocoles avec de nouvelles vulnérabilités pour accéder aux systèmes. Les bases de données Elasticsearch et MongoDB présentent un taux élevé de compromission, plusieurs indicateurs montrant qu'un grand nombre d'entre elles ont été capturées par des attaques de ransomware, précise aussi le rapport. L'utilisation de bases de données non authentifiées a augmenté en 2022, en particulier celle de Redis, parce qu'elles sont faciles à utiliser et à mettre à l'échelle, a ajouté le rapport.
« Beaucoup d’entreprises peuvent manquer de vigilance ou d'expertise en matière de sécurité, ce qui signifie qu'elles laissent ces bases de données mal configurées ou configurées sans aucun contrôle de sécurité », a déclaré Coalition. Les données sont alors exposées à Internet, si bien que le risque pour ces entreprises de se faire voler leurs données et d’être victimes d’une demande de rançon est plus élevé. Coalition recommande aux entreprises et à leurs équipes de sécurité et IT d'appliquer en priorité les mises à jour sur les infrastructures publiques et les logiciels orientés vers l'Internet dans les 30 jours suivant la publication d'un correctif et de suivre des cycles de mise à niveau réguliers pour atténuer les vulnérabilités des anciens logiciels afin de se préparer aux menaces de 2023. « Les professionnels de la cybersécurité doivent plus que jamais être attentifs aux vulnérabilités qui existent déjà dans leurs réseaux et leurs actifs. Les attaquants sont de plus en plus sophistiqués et sont devenus experts dans l'exploitation des systèmes et des technologies couramment utilisés », a déclaré Tiago Henriques, vice-président de la recherche en sécurité de Coalition, dans une note.
Une nouvelle notation prédictive
Cette année, Coalition a créé un autre mécanisme de notation pour les vulnérabilités et expositions communes, appelé Coalition Exploit Scoring System (CESS). Le CESS s'inspire de l'EPSS (Exploit Prediction Scoring System) et du CVSS (Common Vulnerability Scanning System) mais il se concentre sur la fourniture d'informations personnalisées pour aider à la souscription de cyberassurances en évaluant la probabilité que les attaquants exploitent un CVE.
« Ce système est capable de fournir aux chercheurs en sécurité et aux souscripteurs deux éléments d'information clés : la probabilité d’une vulnérabilité exploitable et la probabilité de l'exploitation de la vulnérabilité », a déclaré Coalition. « Notre objectif pour le CESS est de créer un système totalement transparent, qui explique exactement comment nous sommes arrivés à un certain score afin que la communauté puisse nous aider à nous améliorer », a déclaré Tiago Henriques.