Introduction
La cybersécurité ne peut pas être envisagée comme une solution figée dans le temps. Les risques évoluent constamment, ce qui nécessite une adaptation continue des stratégies de défense. L’authentification multi facteur (MFA) est un bon exemple. Il y a cinq ans, elle était considérée comme la référence en matière de réduction des risques par les compagnies d’assurance. Aujourd’hui, elle reste essentielle, mais n’est réellement efficace que si elle s’inscrit dans une stratégie de sécurité globale, capable de s’adapter à l’évolution rapide des menaces.
Alton Kizziah
PDG, Beazley Security
Exploitation des équipements de périphérie : Une menace à surveiller
On a pu observer récemment un changement dans la manière dont les acteurs malveillants accèdent aux environnements.
Les générations précédentes d’attaquants se concentraient sur l’accès au réseau via des terminaux tels que les postes de travail et les serveurs. Ils utilisaient des mails de phishing contenant des liens malveillants ou des documents piégés, et obtenaient l’accès par le biais d’identifiants volés ou de l’installation de portes dérobées. Cependant, à mesure que les organisations, les fournisseurs et les prestataires ont renforcé la sécurité des terminaux, les attaquants ont déplacé leur attention vers les dispositifs en périphérie, souvent obsolètes, non corrigés ou vulnérables d’une autre manière.
Les acteurs de la menace s’appuient depuis longtemps sur les identifiants volés pour accéder à un environnement via des équipements périphériques. Même si ce risque est bien connu, �les organisations éprouvent encore des difficultés à le maîtriser. �Ce dernier s’explique par plusieurs facteurs : la réutilisation fréquente des mots de passe par les utilisateurs, l’absence d’outils de gestion dédiés, et une adoption encore limitée des bonnes pratiques en matière de création de mots de passe forts et complexes.
En l’absence d’authentification multi-facteurs, l’utilisation de mots de passe faibles ou réutilisés expose les organisations à des attaques bien connues, telles que les attaques par dictionnaire et les attaques par diffusion de mots de passe qui compromettent les systèmes depuis des décennies. Et même lorsque l’authentification multifacteur (MFA) est en place, des configurations faibles peuvent laisser la porte ouverte aux attaquants. Ces derniers adaptent désormais leurs techniques pour la contourner.
Les équipements de périphérie sont des systèmes qui connectent un réseau interne à l’Internet public. Ils sont explicitement conçus pour être directement accessibles depuis Internet. Les types les plus courants comprennent les pares-feux, les VPN et les serveurs de transfert de fichiers.
Qu’est-ce qu’un équipement �de périphérie ?
L’identification rapide des vulnérabilités à mesure que de nouveaux risques évoluent est un défi permanent pour les organisations. Sans informations précises sur la façon dont un équipement périphérique pourrait être exploité ou sur l’endroit d’une telle exploitation, les mesures de prévention et d’anticipation continues sont essentielles pour la défense autonome.
Ces mesures incluent :�
Détection et réponse étendues (XDR) pour offrir une visibilité sur l’ensemble de la surface d’attaque
Gestion robuste des vulnérabilités et du déploiement de correctifs pour garantir la protection des appareils
Autres contrôles de défense en profondeur pour empêcher que les attaquants se déplacent dans le réseau sans être détectés et n’étendent leur emprise
En savoir plus sur les meilleures pratiques ici
L’exploitation plus rapide des vulnérabilités récemment publiées a intensifié les préoccupations concernant les équipements périphériques. Dès qu’une nouvelle vulnérabilité est rendue publique, un grand nombre d’acteurs malveillants se mobilisent pour l’exploiter.
�À l’aide d’outils largement accessibles, ils peuvent facilement rechercher les appareils connectés à Internet susceptibles d’être vulnérables. Une fois qu’ils obtiennent un accès initial à un environnement par le biais d’une vulnérabilité au niveau d’un équipement périphérique (parfois en seulement 8 heures après avoir pris connaissance de la vulnérabilité), ils peuvent soit maintenir un accès permanent, soit, grâce à des solutions d’hébergement de fichiers, exporter immédiatement les données sans compromettre l’environnement. Il est simple pour les attaquants d’identifier des appareils potentiellement vulnérables à l’aide d’outils de scan. Tester si les vulnérabilités sur appareils ont été corrigées est tout aussi facile. Cela devient donc un jeu de chiffres pour les pirates, avec des chiffres en faveur des attaquants. Découvrez ici des exemples de ce que cela donne dans la pratique.
Les cybercriminels rencontrent souvent un taux de réussite élevé lorsqu’ils ciblent les équipements périphériques, principalement en raison d’une mauvaise gestion des identifiants. Mais aujourd’hui, avec la facilité d’accès à des infrastructures de phishing capables de contourner même les mécanismes d’authentification multifacteur (MFA), les attaquants peuvent désormais viser des organisations pourtant dotées de contrôles MFA robustes.
L’authentification multifacteur (MFA) est fréquemment contournée à l’aide d’une technique appelée « attaque de l’homme du milieu ». Dans ce scénario, un cybercriminel envoie un e-mail de phishing contenant un lien vers un site frauduleux qui imite fidèlement un portail de connexion légitime, souvent celui d’Office 365. Lorsque la victime saisit ses identifiants, l’attaquant intercepte la session en temps réel, récupérant ainsi des jetons d’authentification et d’autres informations sensibles. Cette méthode permet à l’attaquant de contourner la MFA en accédant à une session déjà authentifiée. L’efficacité de cette technique repose sur la reproduction quasi parfaite de la page de connexion ciblée, ne laissant comme seuls indices visuels le nom de domaine du site de phishing et les détails du certificat TLS.
Dans les organisations où l’accès au VPN nécessite une authentification simple basée uniquement sur un mot de passe, une attaque de type homme du milieu réussie pourrait directement conduire à un accès au réseau en quelques minutes. Après tout, il est beaucoup plus facile de cambrioler une maison quand on a les clés plutôt que de forcer la porte.
Mettre les risques en contexte :
Études de cas et de données
Le client gère des établissements de soin résidentiel. À la suite d'un avis de Fortinet concernant une vulnérabilité de type « 0-day », le client a rapidement alerté son fournisseur informatique afin de procéder à la mise à jour des pares-feux concernés sur son réseau. Moins de 24 heures après la publication de la vulnérabilité, le fournisseur informatique a découvert que quatre équipements périphériques de pare-feu avaient déjà été compromis.
Beazley Security a été mandaté pour enquêter, contenir et éradiquer l’attaque. L’enquête a révélé que l’exploitation d’un VPN a permis à l’acteur malveillant d’accéder à l’environnement en obtenant l’ensemble des noms d’utilisateur et mots de passe de l’équipement de périphérie. Grâce à une escalade des privilèges, l’attaquant est devenu superutilisateur, obtenant ainsi un accès complet au système. Il a ensuite créé de nombreux comptes administrateurs et utilisateurs légitimes, exploitant rapidement la situation. L’attaquant a également modifié les règles de configuration afin de faciliter un accès à distance supplémentaire, renforçant ainsi son contrôle sur l’environnement.
La simple fermeture d’un ou deux comptes n’aurait pas nécessairement empêché le retour de l’acteur malveillant. Cependant, le client a pris du retard pour réinitialiser les informations d’identification lorsque l’incident a été d’abord identifié, prenant le temps d’enquêter sur l’alerte initiale. L’organisation exploitée s’est retrouvée à jouer au jeu du chat et de la souris pour tenter de résoudre le problème, tandis que l’acteur de la menace se déplaçait rapidement dans les systèmes. Les enquêteurs ont identifié les comptes compromis, supprimé les mécanismes de persistance et installé un EDR pour assurer la visibilité et veiller à ce qu’aucune activité supplémentaire du pirate ne se produise.
ÉTUDE DE CAS : Les correctifs révèlent une compromission
La recrudescence des attaques ciblant les équipements périphériques pousse Beazley Security Labs à intensifier ses recherches sur ces vulnérabilités.
Cette équipe surveille et évalue de près les risques liés aux nouvelles vulnérabilités logicielles, afin de fournir des avis ciblés sur les menaces les plus critiques. Beazley Security Labs adopte une approche fondée sur le risque pour la publication de ses rapports, en mettant en lumière les vulnérabilités les plus susceptibles de causer des dommages aux clients Beazley lors d’un incident cyber.
En moyenne, 40 à 50 vulnérabilités sont signalées chaque semaine. La valeur apportée par l’équipe Labs est le tri de ces vulnérabilités afin d’identifier celles qui sont les plus importantes pour les clients de Beazley.
Notre équipe d’experts Labs analyse chaque nouvelle vulnérabilité afin d’évaluer la probabilité et la simplicité avec lesquelles elle peut être exploitée, ainsi que les dommages potentiels qu’un pirate pourrait engendrer.
Notre équipe exploite ensuite la visibilité dont nous disposons sur les systèmes externes des clients assurés par Beazley pour estimer le pourcentage d’organisations potentiellement impactées. Elle émet des avis en fonction de la facilité d’exploitation, du nombre d’équipements exposés que nous observons sur les périmètres des clients, ainsi que de l’impact potentiel des acteurs malveillants. Grâce à ce processus de filtrage rigoureux, les clients peuvent identifier rapidement les vulnérabilités nécessitant une réponse immédiate.
�Même si les vulnérabilités ne sont pas faciles à exploiter par des attaquants peu qualifiés, les groupes de ransomware sont souvent en mesure de recruter des experts capables de développer des outils d’attaque automatisés dès que les vulnérabilités sont rendues publiques.
Processus de travail
Ce que les RSSI doivent savoir : Meilleures pratiques et solutions techniques
Lors de l’évaluation du risque lié aux vulnérabilités exploitées, il est important d’identifier si, et comment, cette vulnérabilité peut être utilisée contre votre organisation.
La première étape consiste à déterminer si le logiciel ou le dispositif vulnérable est visible depuis Internet et exploitable dans votre environnement. Cependant, il est important de noter que, même si une vulnérabilité ne semble pas exploitable dans votre environnement aujourd’hui, cela ne garantit pas qu’elle ne le sera pas dans le futur. Les fournisseurs améliorent continuellement leurs produits en ajoutant de nouvelles fonctionnalités et en mettant à jour les logiciels, ce qui peut entraîner de nouvelles vulnérabilités. C’est pourquoi un processus robuste de gestion des vulnérabilités et de correction est indispensable.
Les équipements en périphérie, tels que les passerelles VPN ou les systèmes de transfert de fichiers, sont conçus pour être exposés à Internet, ce qui les rend particulièrement vulnérables. Toutefois, une segmentation réseau bien pensée peut considérablement atténuer ce risque. Un bon point de départ consiste à examiner vos politiques de segmentation : sont-elles fondées sur des données fiables et à jour ? Avez-vous identifié et classifié les actifs critiques ? Disposez-vous d’une cartographie actualisée de votre réseau, accompagnée de flux de données documentés ?
Tout d’abord, ces consoles deviennent un autre point que les attaquants peuvent analyser et attaquer. Elles peuvent fournir des informations précieuses pour aider les attaquants à identifier le type d’appareil.
Ensuite, si les consoles de gestion sont accessibles depuis Internet, les attaquants peuvent facilement tenter d’y accéder en testant des identifiants compromis.
En règle générale, il est recommandé de limiter le nombre de services exposés à Internet. Cependant, un certain degré d’exposition est souvent inévitable, ce qui rend le renforcement des services exposés à Internet essentiel. La plupart des entreprises qui fabriquent des appareils avec des consoles de gestion proposent généralement des recommandations en matière de durcissement des configurations. Cela peut inclure la limitation de l’accès à la console de gestion à une seule adresse IP ou à un sous-réseau administratif d’adresses IP capable d’effectuer des modifications.
Le fait de disposer de consoles �de gestion accessibles pour les équipements périphériques soulève deux problématiques majeures.
Les organisations ne peuvent pas se contenter d’un seul contrôle de sécurité : Une stratégie de défense en profondeur est essentielle pour protéger l’environnement dans son ensemble.
Lorsqu’on parle de défense en profondeur, il est nécessaire d’évaluer plusieurs couches, plusieurs contrôles et plusieurs protocoles. Il ne suffit pas d’acheter simplement un produit, de l’installer et d’espérer ne pas être piraté – ni d’appliquer un correctif et espérer que tout ira bien. Les organisations doivent s’adapter au paysage des menaces cyber, à mesure qu’il évolue, afin de les détecter et d’y répondre.
�Un programme complet de défense en profondeur comprendra :�
Analyse des vulnérabilités et des processus de correctifs
EDR déployé partout et configuré pour bloquer activement les menaces
Surveillance et investigation des alertes par le MDR SOC
Accès verrouillé au mouvement latéral pour ralentir les pirates
Gestion de l’identité et de l’accès (IAM)
De plus, il existe des pratiques spécifiques à certains secteurs.
Services financiers
Envisager de déployer la surveillance des transactions et des comportements pour détecter les activités frauduleuses et inhabituelles sur les comptes.�
Effectuer régulièrement des analyses de vulnérabilité et appliquer des correctifs pour surveiller les logiciels obsolètes ; s’assurer que des mesures de contrôle alternatives sont mises en place autour des appareils anciens qui ne sont plus pris en charge.�
Surveiller et examiner les systèmes tiers (comme les fournisseurs principaux) pour s’assurer qu’ils appliquent les correctifs et déploient des systèmes à jour.�
Mettre en œuvre une micro-segmentation et un accès limité aux systèmes anciens.
Surveiller et enregistrer les applications/systèmes anciens.
Utiliser l’authentification forte du client (SCA) comme vérification supplémentaire pour les transactions.�
S’assurer que les données financières sont chiffrées aussi bien en transit que lorsqu’elles sont stockées. �
Limiter l’exposition des API – Les API doivent respecter des protocoles stricts d’authentification et de surveillance.
Santé
Technologie
Technologiques (SaaS)
Manufacture et Industrie
Il est également conseillé aux organisations de santé, y compris les hôpitaux, les cliniques et les professionnels de santé qui doivent protéger les données des patients et se conformer à des réglementations telles que HIPAA (Health Insurance Portability and Accountability Act) et HITECH, de :
Les entreprises technologiques, y compris les développeurs de logiciels et les prestataires de services informatiques, ont besoin de mesures de cybersécurité solides pour protéger la propriété intellectuelle et les données des clients. Les pratiques recommandées pour ce secteur sont les suivantes :
Les entreprises manufacturières et industrielles qui dépendent des technologies opérationnelles (OT) et des systèmes de contrôle industriel (ICS) sont de plus en plus ciblées par des menaces cyber. Ces organisations sont bien avisées de :
Pour les entreprises de services logiciels (SaaS) qui traitent des données sensibles de leurs clients et qui doivent s’assurer que leur posture de sécurité est solide, les meilleures pratiques doivent inclure :
Les bonnes pratiques pour prévenir l’exploitation des identifiants volés, que chaque organisation devrait adopter, incluent :
La réponse aux incidents n’est pas un processus linéaire. Nous avançons et reculons au fur et à mesure que nous obtenons de nouvelles informations, les analysons et en tirons des conclusions. Le processus de réponse aux incidents comprend les étapes suivantes :
Lorsque vous soupçonnez qu'un VPN a été compromis : le cycle de vie de l'IR
Recherche de vulnérabilités qui pourraient avoir permis l’accès à votre réseau
Veiller à ce que les journaux soient conservés pendant 60 ou 90 jours pour qu’une enquête puisse être menée sur l’incident
Réaliser un audit des comptes utilisateurs et administrateurs, car un acteur malveillant crée souvent de nouveaux comptes dès l’obtention d’un accès afin d’assurer sa persistance dans le système.
Surveillance des comportements suspects des utilisateurs ou des activités des administrateurs, comme les connexions depuis des adresses IP inhabituelles ou à des heures inattendues
Réinitialisation des informations d’identification pour les comptes connus pour être compromis ou susceptibles de l’avoir été
Dr. Mohibi Hussain
Director, Global Advisory Services, Beazley Security
« Avec la réduction du temps nécessaire à l’exploitation des vulnérabilités, l’écart entre les politiques de conformité d’une organisation, les calendriers de gestion des correctifs et la rapidité d’action des acteurs malveillants devient de plus en plus restreint. Dans ce contexte, une surveillance continue de l’environnement ainsi qu’un système de gestion des correctifs plus rapide et plus efficace sont essentiels. »
Pour en savoir davantage
Appliquer l’authentification multifacteur (MFA)
Mettre en œuvre l’authentification sans mot de passe
Adopter un accès basé sur les rôles (RBAC) et juste-à-temps (JIT)
Définir des politiques de protection de l’identité (risque de connexion) (si applicable)
Surveiller les fuites d’identifiants
Limiter l’usage aux méthodes d’authentification modernes et bloquer les méthodes d’authentification héritées
Sécurité des informations d’identification
Appliquer des politiques de mot de passe robustes
Mettre en œuvre une solution de gestion des accès privilégiés (PAM)
Utiliser l’authentification adaptative
Auditer et surveiller les tentatives de connexion
Bloquer l’accès à partir d’identifiants compromis
Sécurité des terminaux et de l’infrastructure réseau
Surveillance continue et détection d’anomalies
Segmentation de réseau
Application des politiques de sécurité des appareils
Activation du géorepérage (geofencing) et des restrictions IP
Automatisation des délais d’expiration de session et de la réauthentification
Francisco Donoso
Chief Product and Technology Officer, Beazley Security
« La tendance évolue désormais vers une exploitation plus rapide des failles ou des vulnérabilités. Les pirates surveillent de près les développeurs, les fabricants et les vendeurs qui rendent publique une vulnérabilité, puis ils saisissent l’occasion dès qu'elle se présente. »
Les alertes récemment publiées peuvent toujours être consultés sur notre site Web, beazley.security/alerts-advisories
ÉTUDE DE CAS : L’exploitation des identifiants VPN volés entraîne l’arrêt de la production
Le client est un fabricant de matériaux de construction exploitant plus de dix sites, incluant des services de fabrication, d’entreposage et de distribution. Dès le premier matin de l’incident, il a reçu une alerte de son fournisseur de sécurité signalant une activité suspecte affectant plusieurs installations. En enquêtant, le client a détecté des mouvements latéraux au sein de ses systèmes, constaté l’arrêt de plusieurs hôtes VMware, et découvert une note de rançon attribuée au groupe Ransomhub.
Beazley Security a été mandatée pour mener l’analyse forensique et coordonner les efforts de récupération des données. L’analyse a révélé que l’acteur malveillant avait utilisé des identifiants valides associés à trois comptes différents pour accéder au VPN de l’entreprise. Une fois connecté, il a exploité le mécanisme d’authentification unique (SSO) pour accéder à la console VMware. Il a ensuite déployé un logiciel malveillant destiné à neutraliser les agents EDR, chiffré quatre serveurs virtuels ainsi que plusieurs terminaux, et exfiltré plus de 200 Go de données.
Bien que le client disposait de sauvegardes fiables, la restauration complète du système a nécessité plus de deux semaines. Ce délai a entraîné des perturbations importantes dans la production et la gestion des commandes, ce qui a eu un impact significatif sur la marge bénéficiaire. Une analyse approfondie des données volées a été nécessaire, et l’équipe de réponse aux incidents a accompagné le client dans la notification de plus de 2 200 personnes concernées, ainsi que dans les démarches auprès des autorités de régulation.
Les banques coopératives, les banques locales et les compagnies d’assurance qui traitent des données financières sensibles sont des cibles privilégiées pour les cyberattaques. Outre les meilleures pratiques susmentionnées, les organisations de services financiers devraient :
Sécuriser les dossiers de santé électroniques (DSE) en cryptant les données des patients lors de leur transmission et lorsqu’elles sont stockées.
Surveiller les fournisseurs tiers en veillant à ce qu’ils respectent les normes de sécurité dans le domaine de la santé.
Mettre en œuvre la sécurité des dispositifs médicaux en isolant les appareils médicaux IoT.�
Effectuer régulièrement des correctifs et des analyses de vulnérabilités pour rechercher continuellement les logiciels obsolètes.
Former le personnel aux tactiques de phishing et d’ingénierie sociale et veiller à ce que les utilisateurs respectent les meilleures pratiques en matière de regards indiscrets, de gestion des mots de passe et d’ordinateurs laissés sans surveillance.
Renforcer le cycle de développement sécurisé des logiciels (SDLC) en utilisant des pratiques de codage sécurisées et en procédant à des tests de sécurité fréquents.�
Faciliter l’application de DevSecOps en intégrant les tests de sécurité au sein des pipelines d’intégration continue/déploiement continu (CI/CD).�
Analyser les vulnérabilités des logiciels open source en évaluant les dépendances pour détecter les failles de sécurité.
Surveiller la sécurité du cloud pour s’assurer que les environnements cloud sont configurés de manière sécurisée.
Effectuer une évaluation des applications et des réseaux internes et externes pour surveiller les logiciels/systèmes d’exploitation obsolètes.
Segmenter les réseaux IT et OT pour prévenir la formation de mouvements latéraux entre les systèmes de contrôle industriels et les réseaux informatiques d’entreprise.
Surveiller les appareils IoT industriels pour sécuriser les équipements existants et ceux des usines intelligentes.�
Gérer les correctifs pour les systèmes hérités, y compris la mise en œuvre de contrôles alternatifs pour les anciens appareils non pris en charge.
S’assurer que les contrôles de sécurité physique restreignent l’accès non autorisé aux systèmes industriels.
Assurer l’isolation des locataires dans les environnements multi-locataires afin de prévenir toute fuite de données entre eux
Gestion de la configuration de la sécurité (SCM) visant à appliquer en continu des paramètres sécurisés dans les environnements cloud.
Contrôle d’accès basé sur les attributs (ABAC) afin de limiter les autorisations d’accès aux données.
Protection autonome des applications en cours d’exécution (RASP) pour surveiller et prévenir les attaques dans l’application.
Nos équipes s’adaptent constamment à l’évolution des tactiques, en identifiant les risques qui pourraient perturber les opérations ou compromettre les données sensibles, puis en définissant des stratégies pour atténuer ces vulnérabilités. La capacité à partager ces expériences de manière proactive avec les clients est un élément clé de la proposition de valeur de Beazley Security. C’est pourquoi je suis particulièrement enthousiaste à l’idée de vous présenter notre nouvelle série Cyber Risk | In Focus. À la fois explicatifs et analytiques, s’appuyant sur des données concrètes, ces rapports sont conçus pour approfondir les tendances émergentes au fur et à mesure qu’elles prennent forme, et pour vous aider à prendre des décisions éclairées concernant vos cyberdéfenses.�
La cyber-résilience n’est pas seulement une stratégie de défense ; c’est aussi un catalyseur pour les entreprises, permettant aux systèmes et aux organisations de rester résilients face aux menaces cyber. Nous constatons déjà l’impact significatif qu’apporte l’utilisation de données concrètes, issues de nos équipes de souscription, d’indemnisation, ainsi que de nos experts en cyber et de notre équipe de recherche. En s’appuyant sur ces informations, les échanges gagnent en pertinence et permettent une meilleure prise de décision en matière de gestion des risques. Nous sommes plus forts ensemble et, par extension, les organisations qui nous font confiance pour répondre à l’ensemble de leurs besoins en matière de cybersécurité le sont également.
Entrons donc dans le vif du sujet. Aujourd’hui, nous explorons les risques liés à l’exploitation des équipements de périphérie. Nous analysons en particulier comment la rapidité croissante d’exploitation des vulnérabilités nouvellement publiées accentue les risques pour les organisations. Lisez la suite pour découvrir les implications concrètes pour votre entreprise, et les mesures préventives que vous pouvez mettre en place dès maintenant pour renforcer la sécurité de votre environnement.
Exploitation des équipements de périphérie : Une menace en constante accélération
Cyber Risk | In Focus
Exploitation des équipements de périphérie : Une menace à surveiller
Mettre les risques en contexte :
Études de cas et de données
Ce que les RSSI doivent savoir :
Meilleures pratiques et� solutions techniques
Pour en savoir davantage
Chez Beazley Security, nous sommes là pour vous aider à faire face en toute confiance au paysage complexe des cybermenaces actuelles. �Si vous souhaitez en savoir plus sur la manière dont nos services peuvent protéger votre entreprise, contactez-nous dès aujourd’hui.
© 2025 Beazley Security
beazley.security
Prêt à renforcer votre sécurité ?
Une expertise distinctive en cybersécurité, soutenue par des performances éprouvées en matière de réduction des risques pour renforcer votre résilience.
L’innovation, en permanence
Pour le paysage actuel, cela signifie comprendre comment les vulnérabilités des équipements périphériques peuvent être exploitées et quelles mesures sont les plus efficaces pour se protéger contre les risques qui en résultent. Pour l’avenir, il est également essentiel de disposer des ressources et des outils nécessaires pour suivre les tendances et réagir rapidement sur la base de recommandations factuelles.
Tant que les acteurs malveillants pourront exploiter les vulnérabilités des équipements périphériques pour accéder aux systèmes, ils continueront sans aucun doute à le faire. Mais ils ne s’arrêteront pas là, et vous ne devriez pas non plus. ��
La formation continue est un élément essentiel de la cybersécurité préventive. Dans un monde où les pirates modifient et affinent régulièrement leurs tactiques, garantir que votre organisation est prête à tout nécessite un engagement continu pour rester au courant des dernières tendances.
Il arrive que Beazley Security Labs émette un rapport pour des systèmes qui ne sont généralement pas directement connectés à Internet mais qui pourraient être à risque, par exemple la solution de sauvegarde populaire Veeam, souvent ciblée par des acteurs malveillants lors d’attaques par ransomware.
Dans un tel scénario, nous pourrions transmettre un rapport aux clients de Beazley Security MXDR afin de renforcer leur posture de défense en profondeur, tout en publiant une alerte sur notre site web. En adoptant une approche fondée sur le risque pour la gestion des vulnérabilités, le risque est transféré du domaine technique vers une dimension stratégique de l’entreprise, ce qui permet de réduire considérablement le risque opérationnel.
Cause principale d’incident
Moyenne dans tous les secteurs d'activité
Vente au détail
Services professionnels et associations
Fabrication et distribution
Sans but lucratif
Secteur public
Services aux entreprises
Éducation
Institutions financières
Santé
Autres secteurs
Moyenne dans tous les secteurs d'activité
Vente au détail
Services professionnels et associations
Fabrication et distribution
Sans but lucratif
Secteur public
Services aux entreprises
Éducation
Institutions financières
Santé
Autres secteurs
MDR : Répartition de MITRE ATT&CK au premier trimestre
Au cours du premier trimestre, le service de MDR de Beazley Security a traité un large éventail d'incidents dans les environnements des clients. Sur l’ensemble de la période analysée, la plupart des interventions se sont concentrées sur les étapes initiales et intermédiaires de la chaîne d'attaque, mettant en évidence l’accent mis par les pirates informatiques sur la collecte d’informations préliminaires et sur les tentatives continues de mouvement latéral au sein des environnements ciblés. L’activité observée reflète des campagnes automatisées et opportunistes, au cours desquelles les cybercriminels exploitent des vecteurs d’accès initiaux pour établir rapidement leur présence dans les systèmes ciblés. Cependant, nous constatons une augmentation notable des tentatives de compromission initiale via des infostealers, activés par des liens de phishing malveillants ou des téléchargements frauduleux.
Exfiltration des données
Peu après la résurgence des ransomwares il y a environ six ans, les pirates ont commencé à utiliser l'accès aux réseaux compromis non seulement pour chiffrer les données, mais aussi pour les exfiltrer. Cela leur a donné deux points de pression supplémentaires pour leurs demandes de rançon : la menace de divulguer les données volées et, plus tard, l'utilisation de ces données pour cibler les employés ou les clients de l'organisation victime afin d'accentuer la pression. Comme nous l'avions prédit, l'exfiltration de données est désormais inévitable dans les incidents d'extorsion cyber, avec 100 % des attaques par ransomware avec exfiltration des données au quatrième trimestre.
Compromission d’adresses mail professionnelles
Les sociétés de services professionnels, y compris les cabinets d'avocats et d'autres acteurs impliqués dans des transactions immobilières et financières, continuent d’être des cibles privilégiées pour les cybercriminels cherchant à détourner ou voler des fonds. Ce secteur enregistre toujours le plus grand nombre d’incidents de ce type. Cependant, le gouvernement, les services aux entreprises et le secteur de l'éducation ont commencé à constater un volume plus élevé d'attaques par compromission d'adresses mail professionnelles. Répartition des incidents de compromission d'e-mail professionnel par secteur d'activité
Interruption du service fournisseur
Les risques liés aux services tiers peuvent s'étendre à tous les secteurs, par exemple lorsque des pirates informatiques exploitent des logiciels ou des outils couramment utilisés, comme dans l'incident Hafnium impliquant Microsoft Exchange Server en 2021, mais comme le montre le graphique, ils peuvent également avoir un impact significatif sur des secteurs spécifiques. La compromission en 2020 de Blackbaud, une plateforme de collecte de fonds et d'administration couramment utilisée par les organisations à but non lucratif, a eu des répercussions considérables dans le secteur associatif et de l'éducation. Les fournisseurs de services financiers ont été ciblés en 2023, entraînant une hausse des incidents chez les institutions financières. Et au premier trimestre, une violation de données survenue fin décembre 2024 sur la plateforme PowerSchool utilisée par de nombreuses écoles a entraîné des centaines de notifications secondaires.
�
Tendances des vulnérabilités au premier trimestre 2025
12,066
Nouvelles vulnérabilités CVE publiées par le NIST
Vulnérabilités CVE ajoutées à la base KEV de la CISA
45
Rapports sur les vulnérabilités de type 0-Day publiés par Beazley Security Labs
8
+8.69%
Changement par rapport à Q4
Changement par rapport à Q4
+22%
Changement par rapport à Q4
+60%
L’activité cyber en quelques chiffres : 1er trimestre 2025
Depuis plus de cinq ans, Beazley Security, en collaboration avec Beazley Insurance et ses partenaires, surveille de près l’évolution de l’activité cyber. Voici un aperçu des tendances observées au premier trimestre 2025. N’hésitez pas à nous contacter pour discuter de l’impact potentiel sur votre organisation.
Cliquez sur des secteurs spécifiques pour comparer leur profil d’incidents annuel à celui observé en moyenne. Les risques d'intrusion dans les systèmes sont beaucoup plus fréquents dans l'industrie manufacturière, par exemple, dans des contextes où les organisations sont susceptibles de stocker moins de données personnelles ; le secteur de l’éducation, quant à lui, met en évidence l’impact démesuré de certains incidents importants liés à des prestataires, survenus certaines années.
Edge Device Exploitation:
The accelerating timeline
Cyber Risk | In Focus
At Beazley Security, we’re here to help you navigate today’s complex cyber threat landscape with confidence. If you’d like to learn more about how our services can safeguard your business, contact us today.
© 2025 Beazley Security
beazley.security
Ready to Strengthen Your Security?
Distinctive cyber security expertise reinforced by proven performance in risk mitigation to power your resilience.
Relentless Innovation.
Introduction
Edge Device Exploitation:�A Threat to Watch
Putting the Risks in Context: Case Studies & Data
What CISOs Should Know: �Best Practices and Technical Solutions
To Learn More
Explorez notre page d’analyse pour découvrir ces chiffres plus en détail.
Découvrez la solution MDR avancée de Beazley Security
Dive deeper into these numbers on our insights page
DE
EN
Deutsch
French