Source: ENISA (European Union Agency for Cybersecurity) — Contexte: publication de l’ENISA Threat Landscape 2024 (période couverte: juillet 2023 à juin 2024, sortie en septembre 2024).

Le rapport met en avant 7/8 menaces « prime » avec les menaces contre la disponibilité (DDoS) et le ransomware en tête, suivis des menaces contre les données, malwares, ingénierie sociale, manipulation de l’information et chaîne d’approvisionnement. ENISA indique avoir observé 11 079 incidents (dont 322 visant plusieurs États membres), avec une hausse notable des événements dans l’UE au 1er semestre 2024.

Parmi les tendances clés: forte hausse du BEC, généralisation des techniques LOTL et LOTS (usage de services légitimes/cloud pour le C2 et l’évasion), IA exploitée par des acteurs malveillants (rédaction de scams/scripts, deepfakes) mais encore à échelle limitée, et opérations de police d’envergure (Operation Endgame contre droppers, Operation Chronos contre LockBit). Le rapport recense 19 754 vulnérabilités (9,3% critiques, 21,8% hautes) et note une hausse des compromissions de données en 2023–2024. Côté mobile, essor des trojans bancaires; côté écosystème, MaaS et Initial Access Brokers prospèrent, et les information stealers deviennent centraux. Côté supply chain, l’affaire XZ Utils illustre les risques via la compromission sociale de mainteneurs.

Acteurs et TTPs: les groupes à lien étatique privilégient la furtivité (LOTL, RMM), l’abus de clouds et d’APIs (Slack/Telegram, Microsoft Graph, Google Drive/OneDrive, GitHub), le ciblage d’identités (phishing, password spraying, AitM/Teams), et l’exploitation d’appareils d’edge et périmétriques (Ivanti, FortiGate, Cisco, TeamCity), ainsi que des hyperviseurs/virtualisation. Les hacktivistes (ex. NoName057(16), CARR) multiplient DDoS et défigurations, souvent en lien géopolitique (Ukraine, Proche-Orient). La manipulation de l’information reste active (ex. Doppelgänger, Portal Kombat, PAPERWALL), avec un usage d’IA générative encore mesuré.

Secteurs et géographie: administrations publiques (19%), transport (11%) et finance (9%) sont les plus visés au global; l’UE observe un pic d’événements début 2024 et un repli du ransomware par rapport à l’année précédente. Les DDoS touchent l’ensemble des secteurs; le ransomware cible davantage manufacturing, services aux entreprises et santé.

Vulnérabilités et cadre: 123 failles ajoutées au catalogue CISA KEV durant la période; 76,29% des CVE exploitables via le réseau; faiblesses majeures récurrentes (XSS, SQLi, Out-of-bounds, SSRF, etc.). Le rapport inclut un mapping MITRE ATT&CK par menace et un annexé recommandations sectorielles. Type d’article: rapport d’analyse de menace synthétisant tendances, TTPs et statistiques pour la période étudiée.

• TTPs notables: LOTL, LOTS, abus de RMM (AnyDesk, Atera), C2 via Slack/Telegram, abus de Google Drive/OneDrive/GitHub et d’APIs (Microsoft Graph), phishing ciblé/BEC, password spraying, AitM, exploitation d’appareils périmétriques (Ivanti/FortiGate/Cisco), exploitation d’HTTP/2 (rapid reset), DDoS-for-Hire. • IOCs: non fournis dans le texte.

🧠 TTPs et IOCs détectés

TTP

[‘Living Off The Land (LOTL)’, ‘Living Off Trusted Sites (LOTS)’, ‘Abus de Remote Monitoring and Management (RMM) tools (AnyDesk, Atera)’, ‘Command and Control (C2) via Slack/Telegram’, ‘Abus de Google Drive/OneDrive/GitHub’, “Abus d’APIs (Microsoft Graph)”, ‘Phishing ciblé/Business Email Compromise (BEC)’, ‘Password spraying’, ‘Adversary-in-the-Middle (AitM)’, “Exploitation d’appareils périmétriques (Ivanti, FortiGate, Cisco)”, “Exploitation d’HTTP/2 (rapid reset)”, ‘DDoS-for-Hire’]

🔗 Source originale : https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024