68% des compromissions de données ne sont pas découvertes avant des mois

0

Les attaques de ransomwares sont désormais l’une des principales cyber menaces pour les entreprises et le secteur public souligne Verizon dans son Data Breach Investigations Report (DBIR) 2018. C’est le type de malware le plus courant, présent dans 39% des compromissions de données liées à des malwares, soit le double par rapport à 2017. De surcroît, l’analyse de Verizon révèle que les attaques gagnent à présent les systèmes critiques des entreprises, où elles chiffrent les serveurs de fichiers ou les bases de données, infligeant plus de dommages, avec à la clé des demandes de rançon plus importantes que lorsque elles ciblent les postes de travail.

Les chiffres du DBIR démontrent également une évolution des pratiques liées aux attaques par ingénierie sociale, comme les demandes financières frauduleuses ou le phishing. Ces attaques, qui continuent d’infiltrer les entreprises via leurs salariés, visent à présent des services spécifiques. Les services des ressources humaines de plusieurs secteurs verticaux sont désormais fréquemment ciblés dans l’objectif d’extraire des données fiscales ou relatives à la paye des salariés. Les criminels peuvent ensuite frauder les impôts ou détourner des remboursements.

« Les entreprises peinent à garder une longueur d’avance sur les menaces et continuent de s’exposer à des risques faute d’adopter des stratégies de sécurité dynamiques et proactives », explique George Fischer, président de Verizon Enterprise Solutions. « Avec le DBIR, Verizon souhaite informer les entreprises sur la réalité des cyber menaces. La 11ème édition détaille ce qui se joue actuellement en termes de cybercriminalité, afin d’aider les entreprises à prendre des décisions intelligentes pour se protéger au mieux. »

Les principales conclusions sont les suivantes :

  • Le ransomware est la variété la plus répandue de malwares : on retrouve des ransomwares dans 39% des cas de malwares examinés cette année, alors qu’ils occupaient la cinquième place dans le rapport DBIR 2017 (et la 22ème en 2014). Surtout, l’analyse des chiffres confirme que les ransomwares commencent à impacter les systèmes critiques des entreprises et pas simplement les postes de travail. Ceci conduit à des demandes de rançons plus importantes, qui rendent la vie d’un cybercriminel plus rentable pour moins de travail.
  • Le facteur humain demeure le maillon faible : les salariés sont toujours victimes d’attaques d’ingénierie sociale. Les fraudes financières et les attaques de phishing se retrouvent dans 98% des incidents d’ingénierie sociale et 93% de toutes les compromissions ayant donné lieu à des investigations, l’e-mail demeurant le principal point d’entrée (96% des cas). Les entreprises ont près de trois fois plus de chances d’être victimes d’une compromission par attaques sociales que via des vulnérabilités avérées, ce qui souligne la nécessité de former les salariés en continu aux pratiques de cybersécurité.
  • Les demandes financières frauduleuses visent les RH : ces demandes frauduleuses ont été multipliées par cinq depuis l’édition 2017 du DBIR, avec 170 incidents analysées cette année (contre 61 incidents dans le rapport DBIR 2017). 88% de ces incidents ont visé spécifiquement les équipes RH dans l’objectif d’obtenir des données personnelles pour des demandes frauduleuses de remboursement d’impôts.
  • Impossible d’ignorer les attaques de phishing : alors qu’en moyenne 78% des gens ont réussi un test de phishing l’an dernier, 4% échouent systématiquement à chaque campagne de phishing et activent le contenu ou le programme malveillant. Un cybercriminel n’a besoin que d’une victime pour avoir accès à toute une entreprise.
  • Les attaques DDoS sont partout : les attaques DDoS peuvent toucher n’importe qui, et sont souvent utilisées comme moyen de camouflage pour masquer d’autres compromissions en cours. Elles sont puissantes mais parfaitement gérables si la stratégie d’atténuation DDoS en place est adaptée.
  • Plus d’un quart des attaques proviennent de l’intérieur : il peut y avoir plusieurs agresseurs derrière une compromission ; nous avons découvert que 72% des attaques étaient le fait d’agresseurs extérieurs mais 27% impliquaient des acteurs internes, 2% impliquaient des partenaires et 2% plusieurs partenaires. Les groupes du crime organisé se retrouvent dans 50% des attaques analysées.

« Le ransomware demeure la plus grosse menace pour les entreprises de toute taille », déclare Bryan Sartin, directeur exécutif des services professionnels de sécurité chez Verizon. « C’est la forme de malware la plus répandue et son utilisation a progressé de manière significative ces dernières années. Nous constatons que les entreprises n’investissent toujours pas dans des stratégies de sécurité appropriées pour combattre les ransomwares, si bien qu’elles n’ont souvent pas d’autre choix que de payer la rançon. Les entreprises doivent continuer à investir dans la formation pour sensibiliser leurs collaborateurs aux pratiques du cybercrime et aux effets dévastateurs qu’une compromission risque d’avoir sur la réputation de l’entreprise et son activité commerciale. Les salariés devraient être en première ligne pour défendre l’entreprise, et non être maillon faible de la chaîne de sécurité. Il faut investir dans des programmes de formation continue et d’éducation. Il suffit d’une personne mal informée pour cliquer sur un e-mail de phishing et exposer toute une entreprise. »

Principaux risques par secteur d’industrie

Le DBIR détaille secteur par secteur, les principales menaces et propose des conseils aux entreprises pour atténuer les risques. Voici quelques-unes des conclusions spécifiques à certaines industries :

  • Education : l’ingénierie sociale visant des informations personnelles détournées aux fins d’usurpation d’identité est très fréquente. Les recherches hautement sensibles sont à haut risque également, et 20% des attaques sont motivées par l’espionnage scientifique. 11% des attaques sont aussi motivées par le divertissement plus que par l’appât du gain.
  • Finance et assurance : les dispositifs de clonage de cartes bancaires installés dans les distributeurs automatiques sont toujours en vogue ; mais nous assistons aussi à une recrudescence des pratiques de « jackpotting » de DAB, où des logiciels ou équipements installés frauduleusement donnent l’ordre au DAB de délivrer de grosses sommes d’argent liquide. Les attaques DDoS constituent aussi une menace.
  • Santé : c’est le seul secteur d’industrie où les menaces de l’intérieur sont plus nombreuses que celles émanant de l’extérieur. L’erreur humaine demeure un vecteur majeur de risque pour le secteur de la santé.
  • Information : les attaques DDoS constituent plus de la moitié (56%) des incidents dans ce secteur.
  • Secteur public : le cyber-espionnage demeure problématique, puisque 43% des compromissions sont motivées par l’espionnage. Toutefois, ce ne sont pas seulement les secrets d’état qui sont visés, mais aussi les données personnelles.

Parmi les autres secteurs d’industrie examinés dans ce rapport figurent les services d’hébergement et de restauration ; les services professionnels, techniques et scientifiques ; et les secteurs de la production industrielle et du retail.

L’importance d’agir proactivement

68% des compromissions ont été détectées au bout de plusieurs mois, parfois plus, alors même que dans 87% des compromissions examinées, les données ont été compromises en quelques minutes tout au plus après que l’attaque a été perpétrée. Si l’on ne peut garantir la sécurité, des étapes simples peuvent être mises en œuvre pour veiller à ce que les entreprises ne deviennent des victimes. Les voici :

  1. Restez vigilants : les fichiers log et les systèmes de gestion du changement peuvent être des indicateurs d’alerte précoce d’une compromission.
  2. Utilisez vos salariés comme première ligne de défense : formez-les pour qu’ils sachent détecter les signes d’alerte.
  3. Appliquez le principe du « besoin de connaître » : seuls les salariés ayant besoin d’avoir accès aux systèmes pour travailler sont effectivement autorisés.
  4. Installez les correctifs dans les meilleurs délais : c’est le meilleur moyen de se protéger de très nombreuses attaques.
  5. Chiffrez les données sensibles : rendez vos données inexploitables en cas de vol.
  6. Utilisez l’authentification bifactorielle : vous limiterez l’ampleur des dégâts en cas d’identifiants perdus ou volés.
  7. Ne négligez pas la sécurité physique : tous les vols de données ne se produisent pas en ligne.

About Author

Desirée Rodríguez

Directrice de Globb Security France et Espagne. Journaliste et rédactrice. Avant son incorporation à GlobbTV, elle a développé la plupart de son activité dans le groupe éditorial Madiva. Twitter: @Drodriguezleal.

Leave A Reply