Détection d’intrusion : les chiffres très préoccupants relevés par Wavestone

En ouverture des Assises de la Sécurité, qui se déroulent actuellement à Monaco, Guillaume Poupard, directeur général de l’Agence pour la sécurité des systèmes d’information (Anssi), pointait une faiblesse généralisée : la détection des intrusions. Les chiffres tout juste dévoilés par Wavestone semblent conforter ce jugement.

Le cabinet a ainsi retiré des statistiques des incidents sur lesquels ses équipes sont intervenus au cours des 12 derniers mois, jusqu'à fin août 2019. Et ils ont de quoi être préoccupants. Le délai de détection d’intrusion s’établit ainsi en moyenne à 167 jours. Le délai maximum observé atteint quant à lui 6 ans. Et dans 35 % des cas, la détection survient entre 6 et 9 mois après les faits initiaux. Rassurant, toutefois, il semble que 50 % des entreprises détectent les intrusions en l’espace de deux jours. Mais l’on pourrait penser que le profil des entreprises clients de Wavestone conduisent à de meilleurs chiffres.

Quoique pense Guillaume Poupard des discours « anxiogènes », le tableau est d’autant plus sombre que 65 % des incidents s’avèrent purement opportunistes, contre 30 % d’opérations ciblées. Et il ne faudrait compter qu’avec 47 % d’assaillants plus ou moins rodés.

Surtout, les vecteurs d’entrée soulignent des niveaux d’hygiène limités. Dans un cas sur dix, il s’agissait d’un service de déport d’affichage (RDP, Remote Desktop Protocol) exposé sans précaution sur Internet. Une demi-surprise pour ceux qui furètent régulièrement sur des moteurs de recherche spécialisés tels que Shodan ou Onyphe et se souviennent des vulnérabilités RDP dévoilées plus tôt cette année.

Dans un tiers des cas, c’est par une application Web vulnérable qui a été détournée. Là encore, la situation n'apparaît guère surprenante en regard des états des lieux précédemment dressés par Wavestone. Enfin, dans 10 % des cas, l’intrusion a fait appel au phishing. De quoi, s’il le fallait, souligner encore l’importance de sa prise en compte.

Autre signe peu rassurant, la découverte de l’intrusion n’est le fait des services de sécurité informatique que dans 26 % des cas. Dans une grande majorité – 44 % des cas –, ce sont les utilisateurs qu’il convient de remercier. Ceux-là même qui sont souvent perçus comme un maillon faible. Le sujet avait d’ailleurs fait l’objet d’une table ronde riche lors de l’édition 2017 des Assises de la Sécurité.

Dans 20 % des cas, l’incident a été détecté parce qu’il avait un impact métier visible. En fait, Wavestone indique être intervenu au cours des douze derniers mois sur 40 incidents majeurs ayant mené à l’interruption d’activités métiers ou à une compromission avancée du système d’information.

Le cabinet indique avoir travaillé à 36 % de cas de ransomware. Un chiffre qui apparaît cohérent avec d’autres, confirmant un retour en fanfare. Mais les délais de traitement avancés plaident en faveur du recours à l’assurance. Car si, pour un nettoyage de rançongiciel sans propagation, il ne faut compter qu’une semaine de travail, pour un cas plus complexe – comme il apparaît de moins en moins rare d’en trouver dans les entreprises, c’est plutôt de l’ordre de 3 à 4 semaines. Et lorsque l’on peut raisonnablement estimer que les assaillants ont eu le temps de se promener longuement dans le système d’information, « au moins six mois pour une reconstruction saine ».  

Face ce constat peu réjouissant, les équipes de Wavestone ne versent pas dans le fatalisme et émettent plusieurs recommandations, la première relevant de l’hygiène… pour « être au-dessus de la moyenne » et ainsi « limiter fortement son attractivité auprès des cybercriminels ».