alphaspirit - stock.adobe.com

Attaques informatiques : l’humain faillit souvent en aval de la détection (Lastline)

Selon un sondage conduit par Lastline à l’occasion de la conférence Black Hat, début août, les attaques sont souvent détectées. Mais les équipes de sécurité n’agissent pas toujours en conséquence.

C’était au début 2014. BusinessWeek accablait les équipes de sécurité de Target après l’intrusion dont ses systèmes de gestion des paiements par carte bancaire avaient été victime en fin de l’année précédente. Selon nos confrères, le groupe avait déployé une solution de détection des intrusions signée FireEye quelque six moins avant le début de l’incident. Son équipe de supervision de la sécurité installée à Bangalore, en Inde, avait été rapidement alertées des activités suspectes du logiciel malveillant déployé sur les systèmes de traitement des paiements. Elle avait remonté l’alerte aux équipes de Minneapolis. Mais en vain, selon BusinessWeek : « pour une raison [inconnue], Minneapolis n’a pas réagi aux sirènes ». En outre, le système de protection des postes déployé par Target, signé Symantec, avait également identifié le logiciel malveillant.

Un cas isolé ? Non, laisse à penser un sondage réalisé par Lastline début août après de 134 participants à la conférence Black Hat. De quoi tordre le cou à l’idée répandue selon laquelle le facteur humain qui fait défaut en matière de sécurité informatique, c’est l’utilisateur final. Car si 83 % des sondés indiquent avoir souffert d’une attaque informatique attribuable, au moins en partie, à l’erreur humaine, ils sont 43 % à reconnaître que les ressources technologiques avaient détecté l’incident, mais que les équipes de sécurité n’ont rien fait. Et 41 % supplémentaires attribuent l’incident à une combinaison d’erreur humaine et de défaillance technologique. Au total, 55 % des sondés ont indiqué avoir été victimes d’une attaque informatique.

A la décharge des équipes de sécurité, celles-ci apparaissent « submergées par les alertes et les faux positifs ». Et c’est sans compter avec le manque de ressources rapidement accessibles pour comprendre et bloquer une attaque : 42 % des sondés indiquent n’avoir personne vers qui se tourner. 52 % cherchent des informations en ligne, auprès d’experts et de fournisseurs, et 19 % misent sur leurs pairs.

Mais le sondage de Lastline ne dédouane pas complètement les équipes informatiques internes, loin de là. Seulement 28 % des sondés indiquent suivre les pratiques de référence face un poste compromis, consistant en un effacement et une réinstallation complets. 46 % indiquent supprimer le logiciel malveillant manuellement, tandis que 24 % confient cette tâche à un outil antivirus. Pour Lastline, les entreprises « jouent à la roulette avec les ordinateurs infectés ».

Parmi les menaces rencontrées, il y a bien sûr les incontournables rançongiciels. 20 % des sondés ont été victimes de ransomware. Mais parmi eux, seuls 8 % ont accepté de verser la rançon demandée. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close