La découverte des intrusions est toujours aussi longue

La détection des intrusions prend toujours un temps considérable. L’édition 2015 du rapport de Trustwave sur l’état de la menace le montre encore une fois : en moyenne, il faut 188 jours pour découvrir une intrusion… contre 134 jours en 2014 et 210 jours en 2012.

Le délai médian de détection s’établit à 86 jours, pour un délai médian entre intrusion et son confinement de 111 jours. La conséquence est évidente : les attaquants ont beaucoup de temps pour opérer une fois entrés sur l’infrastructure de leur cible.

81 % des victimes n’ont pas détecté l’incident d’elles-mêmes. Dans 58 %, la détection est venue par un régulateur, une banque ou la marque de carte bancaire, contre 7 % d’un tiers et 4 % des consommateurs. Les forces de l’ordre manifeste une réelle montée en charge sur la cybercriminalité : 12 % des incidents ont été signalés par elles, contre seulement 3 % en 2013.

Mais les chiffres de Trustwave soulignent l’importance de la mise en œuvre d’outils de détection en interne : le délai médian de détection par un tiers externe était de 126 jours en 2014, contre 10 jours pour une intrusion détectée par la victime elle-même. Une différence d’autant considérable que le délai médian de confinement après détection n’est alors que d’un jours pour intrusion détectée en interne, contre 9 jours lorsqu’un tiers la révèle.

Mais les victimes d’attaques secourues par Trustwave l’an passé semblent présentent un visage peu flatteur. Un tiers des attaques ont exploité avec succès des vulnérabilités Flash, et 29 % des vulnérabilités d’Internet Explorer. Mais le travail des attaquants n’a pas forcément été très difficile. « Password1 » était ainsi le mot de passe le plus fréquent.

Surtout, les applications semblent de plus en plus vulnérables. 98 % des applications testées par Trustwave l’an passé l’étaient, avec une moyenne de 20 vulnérabilités chacune – contre 6 en 2013. Les applications mobiles n’ont guère faire mieux, vulnérables à 95 % avec une moyenne de 6,5 vulnérabilités par application. 35 % des applications mobiles testées par Trustwave comportaient des vulnérabilités critiques.

Au final, les deux premiers facteurs ayant contribué à la compromission étaient une sécurité faible des accès distant (28 %) et des mots de passe peu robustes (28 %). Viennent ensuite les vulnérabilités non corrigées (15 %) et les saisies de formulaires non contrôlées (15 %), ou encore le défaut de configuration (8 %), et enfin la malveillance interne (6 %).

Dans la région Europe, Moyen-Orient et Afrique, 50 % des attaques étudiées ont visé l’obtention d’identifiants ouvrant la voie à des données financières, contre 63 % pour le vol de données de cartes de paiement aux Etats-Unis, et de 75 % à 82 % pour les traces de paiement de commerce électronique en Amérique Latine et dans la région Asie-Pacifique. Au final, pour les attaquants, le retour sur investissement moyen des attaques de masse ciblait des utilisateurs finaux s’établirait à 1 425 %.

Alors que Trustwave a été, en 2014, fortement sollicité par des entreprises des secteurs du commerce de détail, de l’alimentation, et de l’hôtellerie, ces trois industries montrent des fragilités récurrentes. Ainsi, 95 % des incidents étudiés dans le secteur de l’alimentation et 65 % dans celui de l’hôtellerie concernent la compromission de points de vente. Des accès distants configurés de manière laxiste ont contribué à 44 % de ces compromissions, les mots de passe peu robustes à 50 % d’entre elles.

Les données l’édition 2015 du rapport de Trustwave sur la menace s’appuient sur 574 enquêtes réalisées dans 15 pays différents.