Sécurité : des attaques de plus en plus ciblées

De passage à Paris fin juin, Brian Sartyn, directeur des équipes d’investigation de Verizon Business Security Solutions, a présenté un rapport d’étude sur la violation de données rapport fondé sur 500 enquêtes criminelles conduites au cours des quatre dernières années. Le niveau de prévention des entreprises est une nouvelle fois mis en cause. De même que ressort encore l’investissement croissant du crime organisé dans des attaques informatiques de plus en plus ciblées.

L’étude conduite par Verizon met notamment en cause – une fois de plus – le niveau de sécurisation des systèmes d’information : selon Verizon, 87 % des violations auraient pu être évitées si des « mesures de sécurité raisonnables avaient été appliquées ».  Près des trois quarts des violations relèvent d’attaques extérieures, contre 18 % pour les sources internes. L’interconnexion des systèmes d’information est également pointée du doigt avec 39 % des violations qui trouvent leur origine chez des partenaires commerciaux.

La protection des applications est en outre mise en cause : 39 % des attaques auraient visé les logiciels et applications, contre 23 % pour le système d’exploitation.

brian sartynBrian Sartyn a accepté de répondre à nos questions pour éclairer quelques éléments relevés dans l’étude de Verizon Business Security Solutions. L’intégralité du rapport de Verizon est disponible sur Internet.

LeMagIT : Depuis près de neuf ans que vous exercez des activités de détection et protection contre les attaques par Internet, quelles tendances avez-vous observées ?

Bryan Sartin : Nous avons notamment observé des changements dans les techniques utilisées pour attaquer les systèmes d’information des entreprises. Il y a de cela que quelques années, toutes les attaques présentaient un niveau de sophistication très élevé : chaque cas nous apprenait quelque chose de différent, sur les méthodes et les outils utilisés par les pirates, sur la façon dont ils identifiaient leurs cibles et réussissaient à s’y infiltrer puis à y trouver des données de valeur.

Mais, avec le temps, le niveau de sophistication des attaques a considérablement reculé. C’est d’ailleurs le côté un peu fastidieux de notre activité : généralement, il suffit d’observer le réseau d’une entreprise pour identifier très vite la faille. En fait, des mesures de protection très basiques pourraient souvent s’avérer suffisantes.

De plus en plus, les attaques sont ciblées sur des entreprises bien identifiées par le crime organisé sur la base des volumes ou de la valeur, sur le marché noir, des données qu’elles traitent. Mais l’évolution de notre efficacité dans la lutte contre la cybercriminalité a poussé les organisations criminelles à renforcer leurs méthodes pour éviter d’être identifiées, capturées et jugées.

Quels sont les coûts liés à ces attaques et aux pertes de données qu’elles entrainent ?

B.S. : Les vols de données clients, qui conduisent à des informations bancaires utilisées frauduleusement, sont ceux qui coûtent le plus cher, notamment en termes d’image pour l’entreprise, en fonction de sa rapidité à réagir. Et il faut ajouter les coûts d’enquête, de sécurisation, les coûts légaux liés à la responsabilité de l’entreprise, les amendes éventuelles, les coûts de réassurance… Mais on peut aussi considérer l’impact à long terme sur les performances boursières pour les entreprises cotées.

Les coûts organisationnels sont aussi à prendre en compte : 45 à 60 jours après qu’une faille ait été découverte, on constate souvent un turnover élevé dans les équipes des services impliqués, y compris dans les équipes informatiques.

Observez-vous un lien entre logiciels malicieux et crime organisé ?

B.S. : Nous pouvons non seulement l’observer mais aussi l’estimer, de manière chiffrée. Dans 41 % des 500 cas couverts par notre étude, du code malicieux est impliqué. 39 % des attaques étudiées sont dites « opportunistes », s’appuyant sur la recherche de failles connues que les cibles n’auraient peut-être pas corrigées. Nous faisons un lien direct entre l’apparition de code malveillant et ces attaques opportunistes. Mais nous avons maintenant les outils pour remonter rapidement à la source d’une attaque par botnets, par injection SQL. Au final, nous avons d’ailleurs observé un déclin des attaques opportunistes dans lesquelles le crime organisé est impliqué. Celui-ci semble s’orienter de manière préférentielle vers des attaques ciblées ou partiellement ciblées.

Les organisations nationales de lutte contre la cybercriminalité ne sont-elles pas quelque peu dépassées par la dimension globale de la menace ?

B.S. : Non. Le marché noir de l’information a cru si vite que l’on commence à observer des particularismes régionaux : certains types d’attaques sont la spécialité de certaines régions du globe. Par exemple, la fraude à la carte bancaire est très populaire dans de nombreux pays, mais pas en France, grâce aux cartes à puce.

Mais la coopération internationale reste problématique. Les criminels l’ont bien compris et jouent sur les changements de juridiction pour se protéger.

Ecouter Brian Sartyn évoquer l'implication des pays émergents dans la cybercriminalité, des deux côtés du rideau.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close