Marc Spitler (Verizon) précise les conclusions du DBIR 2013

Marc Spitler, analyste au sein de la Verizon RISK Team, détaille les éléments clés du rapport annuel sur les violations de données (DBIR 2013) produit par l’opérateur américain.

Marc Spitler, analyste « sécurité » au sein de l’équipe RISK de Verizon – unité du département solutions d’entreprise de l’opérateur américain de télécommunications –, précise les principales conclusions du rapport 2013 sur les violations de données (Data Breach Investigations Report – DBIR).

Silicon.fr – Europol et le Département de la sécurité intérieure des États-Unis ont contribué à l’édition 2013 du DBIR publié par Verizon. Est-ce à dire qu’un réseau international se constitue pour mieux lutter contre la cybercriminalité ?

Marc Spitler – Verizon a travaillé avec 18 organisations à travers le monde qui ont fourni les données et analyses à la base du rapport 2013. Parmi ces entités figurent : l’Unité de recherche néerlandaise sur les crimes technologiques (NHTCU), le Centre européen de lutte contre la cybercriminalité (EC3) [NDLR : inauguré en janvier dans les locaux d’Europol] et les Services secrets américains (U.S. Secret Service) qui dépendent du Département de la Sécurité intérieure (U.S. Department of Homeland Security).

Cette multiplication du nombre de contributeurs permet de fournir une analyse détaillée sur l’état de la cybersécurité aujourd’hui. En publiant ce rapport, Verizon a toujours pour objectifs : d’améliorer la prise de conscience de la cybercriminalité mondiale, de contribuer au renforcement des capacités de l’industrie pour mieux combattre ce phénomène, et dans le même temps, d’aider les agences gouvernementales et organisations du secteur privé à développer leurs propres politiques de sécurité.

Quelles sont les principales conclusions du DBIR 2013 ?

La cybercriminalité financière à grande échelle et l’espionnage pour le compte d’un État ont dominé le paysage de la sécurité l’an dernier. Ainsi, la cybercriminalité financièrement motivée constitue la majorité des infractions (75%) étudiées dans le cadre du DBIR 2013, suivie des campagnes d’espionnage d’État (20%). Ces dernières incluent les cybermenaces visant le vol de propriété intellectuelle – comme les informations classifiées, les secrets commerciaux et les ressources techniques – pour servir des intérêts économiques et nationaux.

Le DBDIR 2013 constate également que la proportion d’incidents impliquant des « hacktivistes » – qui agissent en fonction de motivations idéologiques ou simplement pour le plaisir – est restée stable. En revanche, la quantité de données volées a diminué, car de nombreux activistes se sont tournés vers d’autres pratiques telles que les attaques par déni de service distribué (DDoS). Ces attaques, qui visent à paralyser ou perturber les systèmes, ont également des coûts importants car elles nuisent aux entreprises comme à leurs opérations.

En 2012, les victimes étaient issues d’un large panel d’industries. Ainsi, 37% des intrusions ont concerné des organismes financiers, 24% des commerces et restaurants, 20% la production, les transports et les services publics et, dans la même proportion, les sociétés de services et médias. Globalement, 37% des cyberattaques ont ciblé de grandes structures et impliqué 27 pays différents.

D’autres résultats intéressants : 92% des violations de données sont le fruit d’attaques externes, 14% sont commises par des initiés. Cette catégorie comprend : les membres du crime organisé, les groupes d’activistes, les anciens employés, les pirates isolés et les organisations parrainées par des gouvernements étrangers. Comme lors de la précédente édition du DBIR, nous constatons que les partenaires commerciaux sont responsables d’environ 1% de ces infractions.

Par ailleurs, le piratage est à l’origine de 52% des violations de données. 70% des intrusions réseau exploitent des informations d’identification « faibles » ou volés (mots de passe, noms d’utilisateurs, etc.) ; 40% incluent des malwares (logiciels malveillants, scripts ou code utilisés pour compromettre des informations) ; 35% sont associées à des attaques physiques (par exemple, devant les automates et terminaux de paiement) et 29% des pratiques comme le phishing (quatre fois plus qu’en 2011).

Enfin, le délai entre la violation de données initiale et la découverte de l’infraction continue à se mesurer en mois, voire en années. Cependant, les infractions finissent, dans leur majorité (69%), par être détectées.

L’appât du gain et la politique sont-ils les principaux moteurs des pirates informatiques ?

Trois principaux groupes commettent couramment des cyberattaques. Chaque groupe a des motivations et tactiques différentes, mais l’effet commun de leurs actions reste les perturbations, les pertes financières et les atteintes à la réputation. Comprendre les caractéristiques de ces groupes peut mieux préparer les organisations et réduire les risques.

Les activistes utilisent encore des méthodes très simples, mais ces dernières années ils ont enregistré des succès notables et largement médiatisés. Ils sont opportunistes. Leur objectif est de maximiser les perturbations et l’embarras de leurs victimes.

Lire aussi : Violation de données : phishing et ransomware au top des menaces

Motivés par le gain, les criminels choisissent des cibles avec plus de sophistication et de calcul. Ils utilisent souvent des techniques de piratage plus complexes que les activistes. Une fois qu’ils ont obtenu l’accès à un système d’information, ils prennent toutes les données qui peuvent avoir une valeur financière.

Souvent parrainés par un État, les espions utilisent les outils les plus sophistiqués pour commettre des attentats davantage ciblés. Ils sont déterminés et savent ce qu’ils veulent : des biens, des données financières, de la propriété intellectuelle ou des informations d’initiés.

J’ajoute que la majorité des incidents financièrement motivés que nous avons examinés ont pour origine les États-Unis ou l’Europe de l’Est – en particulier la Roumanie, la Bulgarie et la Fédération de Russie. Quant aux affaires d’espionnage, elles sont principalement attribuables à l’Asie orientale. D’où qu’elles viennent, les attaques peuvent toucher les entreprises partout dans le monde. Les frontières géographiques ne sont pas des protections face aux cyberattaques.

Comment a évolué la menace depuis la publication du premier DBIR en 2008 ? Quelles réponses y apporter ?

Malheureusement, aujourd’hui comme hier, aucune organisation n’est à l’abri d’une violation de données. La cybercriminalité est une réalité quotidienne et universelle. Tant qu’il y aura production, diffusion et stockage de données critiques d’entreprise, les organisations seront ciblées par les criminels désireux d’obtenir des informations et d’en tirer profit.

Toutes les organisations, grandes ou petites, sont concernées, car les tactiques utilisées par les cybercriminels évoluent constamment. Lorsqu’une porte se ferme et que des programmes de sécurité renforcés sont mis en œuvre, les criminels prennent un autre chemin et le cycle recommence. Toutefois, les entreprises peuvent se protéger et se préparer à d’éventuelles attaques.

Pour vous protéger, vous devez savoir : où, quand, pourquoi et comment les attaques sont susceptibles d’arriver et qui en sont les auteurs. Il faut savoir qu’une cyberattaque n’est pas un grand et unique événement, mais qu’elle s’inscrit le plus souvent dans une série d’événements du même genre. C’est seulement en comprenant bien les circonstances particulières et en ayant la maturité opérationnelle pour les traiter, que les incidents peuvent être évités ou limités. Cela vaut pour le secteur privé comme pour le secteur public et les gouvernements.

À dire vrai, nous croyons qu’une bonne attaque reste la meilleure défense. Il est donc impératif que les entreprises implémentent des mesures de sécurité essentielles sur l’ensemble de leur infrastructure. Les outils pour lutter contre la cybercriminalité sont facilement disponibles pour les entreprises, encore faut-il établir une sélection des bons outils et les utiliser de la bonne manière. En d’autres termes, les entreprises ont besoin de : comprendre leurs adversaires, connaître leurs motivations et leurs méthodes, se préparer et s’adapter.

Voici, pour conclure, quelques recommandations simples et pratiques :

Éliminer les données inutiles, garder un œil sur ce qui reste ;
S’assurer que les contrôles essentiels sont effectués et les vérifier régulièrement ;
Collecter, analyser et partager des données sur les incidents pour créer une base riche qui serve l’efficacité du programme de sécurité ;
Recueillir, étudier et échanger des renseignements tactiques sur les menaces, notamment les indicateurs IOC (Indicators of Compromise) ;
Sans passer au second plan la prévention, mettre l’accent sur une détection meilleure et plus rapide grâce à l’intervention de différentes personnes, processus et technologies ;
Mesurer régulièrement des variables comme le « nombre de systèmes compromis » et le « temps moyen de détection » dans les réseaux. Utilisez-les pour piloter les pratiques de sécurité ;
Évaluer le paysage des menaces pour donner la priorité à une stratégie de traitement. Ne pas opter pour une approche de la sécurité du type « la même chose pour tous » ;
Si vous êtes la cible d’une campagne d’espionnage, ne sous-estimez ni la ténacité de votre adversaire, ni les outils à votre disposition, ni l’intelligence !

Voir aussi

François Brisson (Hiscox) : « Le coût d’une assurance Data Risks est estimé entre 3% et 5% du budget sécurité informatique »

Lire aussi : Cyber risques : des entreprises mal assurées ?