Grafvision - Fotolia
La région EMEA à la traîne de la cybersécurité
Mandiant vient de présenter l’édition de son rapport annuel M-Trends pour la région. Il met notamment en évidence un délai médian de 469 jours pour la découverte d’une compromission.
C’est quasiment un an de plus qu’à l’échelle mondiale : dans la région Europe, Moyen-Orient, Afrique, il s’écoule en moyenne 469 jours entre le début d’une compromission et sa découverte, selon Mandiant, contre 146 jours dans le monde. C’est l’un des principaux enseignements de l’édition 2016 du rapport M-Trends de la filiale de FireEye pour la région EMEA, basé sur les enquêtes qu’elle a été amenées à y conduire l’an passé.
Concrètement, cela se traduit – toujours en moyenne – par la compromission de 40 systèmes par entreprise affectées, sur total analysé par l’attaquant de plus de 40 000, et l’exfiltration de 2,6 Go de données. Pour cela, les cybercriminels utilisent en moyenne 37 comptes d’utilisateurs et 7 comptes disposant des droits d’administration.
Pour Mandiant, « les contrôles de sécurité présents dans les organisations en EMEA ne sont pas à la hauteur du défi pour stopper ou détecter effectivement des acteurs avancés ». Et l’écart apparaît avec les Etats-Unis où « le niveau de base de maturité est plus élevé et où la chasse proactive aux menaces devient lentement une occupation courante des SOC de niveau 3 ».
Cette situation s’avère d’autant plus préoccupante que les entreprises de la région semblent pouvoir ne compter que sur elles-mêmes pour découvrir les intrusions : dans 88 % des cas, ce sont des contrôles internes qui ont permis de lever le lièvre – contre 47 % à l’échelle du globe. Pour Mandiant, « si le délai de découverte était significativement plus bas et que le niveau de découverte par contrôles internes était maintenu, cela indiquerait une posture de sécurité mature ». Ce qui n’est donc pas le cas.
Et le prestataire de services de souligner que si les entreprises de la région EMEA ne reçoivent finalement que peu de notifications de brèches de l’extérieur, c’est surtout par « les gouvernements dans la région n’ont soit pas la visibilité pour détecter ces attaques, ou s’ils l’ont, leur mission n’est pas de protéger les organisations commerciales ». Toutefois, dans certains pays, souligne Mandiant, la situation « est en train de changer » avec notamment les évolutions du cadre réglementaire lié aux opérateurs d’infrastructures critiques. Et l’on pense là naturellement à la France.
Dans la région, les deux principaux vecteurs d’attaque avancée apparaissent être, sans trop de surprise, le hameçonnage ciblé (25 %) et la compromission de serveurs Web (38 %). Pour leurs mouvements latéraux, les cybercriminels semblent apprécier particulièrement, dans la région, des outils et services pleinement légitimes : partages réseau, planificateur de tâches, les outils Windows Systernals, ou encore les services d’administration à distance. Majoritairement, ils semblent viser des informations relevant de la propriété intellectuelle (18 %), mais aussi des documents d’infrastructure (18 %) ou des contenus de bases de données (19 %). Les transferts de fonds frauduleux surviennent dans 9 % des cas, de même que le vol d’images Cisco IOS.
Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)
-
Opérateurs télécoms : les États-Unis attribuent à la Chine une vaste campagne d’espionnage
-
ORBs : le nouveau moyen favori des groupes de pirates pour dissimuler leurs attaques
-
Mandiant fait passer Sandworm au niveau APT44 en raison de l’augmentation de la menace
-
Une vulnérabilité de VMware à l’automne… déjà exploitée en 2021