550 millions de données personnelles dérobées en 2013
Symantec vient de publier le volume 19 de son rapport Internet Security Threat Report (ISTR 2014). Il en ressort que « le vol de données atteint des sommets avec des méga violations, estime Laurent Heslault, responsable stratégie sécurité pour la région EMEA chez l'éditeur de sécurité. Alors qu'on a compté une seule violation de plus de 10 millions d'informations en 2012, il y en a eu 8 en 2013. » Le cas Target aujourd'hui confronté à une kyrielle de procès en constitue la parfaite illustration. Sans oublier la fuite massive dont a été victime Adobe.
De l'hameçonnage à l'harponnage
Au total, pas moins de 552 millions de données personnelles se sont retrouvées sur les marchés parallèles de reventes d'information. Au total, 253 violations de données ont été recensées, en hausse de 62% par rapport à 2012.
Ces montagnes de données volées sont notamment le fait d'attaques nouvelles ou jusqu'à présent peu utilisées. C'est le cas du spearfishing (harponnage), une forme de phishing (hameçonnage) ciblant des individus ou organisations bien identifiés pour atteindre un objectif plus ambitieux. « C'est de plus en plus malin, commente Laurent Heslault, avec une préparation en amont qui conditionne la victime. » Par exemple la secrétaire qui, au fil de la semaine, va recevoir une série d'e-mails et qui, sous la pression de l'urgence, va cliquer sur un lien débouchant sur l'exploitation d'une faille système ou l'installation d'un malware.
Doublement des attaques ciblées en 2013
Ces attaques ciblées ont connu une progression de 91% en 2013, contre 42% 'seulement' en 2012. Et leur durée moyenne est passée de 3 à 8 jours, illustrant la stratégie planifiée des cybercriminels. En France, le spearfishing s'attaque avant tout aux PME (77%), souvent avec l'objectif de pénétrer le SI de la grande entreprise qu'elles fournissent. « Les PME sont généralement moins protégées et font partie de la supply chain d'un grand compte. L'idée est donc d'attaquer des sous-traitants pour viser les grands comptes », explique Laurent Heslault. Les administrations publiques, les services et l'industrie manufacturière constituent les principales cibles aujourd'hui.
Le porte-parole de Symantec décrit les 5 grandes phases d'une attaque réussie?: la reconnaissance (technique, identification des individus avec approche physique éventuelle) ; le développement des maliciels pour l'attaque du SI ; la cartographie du réseau pour éviter de déclencher des alarmes ; la capture des données (sèche ou au fil de l'eau sur des mois ou des années) ; et l'exfiltration (facilitée par le manque d'intérêt de l'entreprise pour tout ce qui sort de son réseau).
Parmi les autres formats d'attaques en croissance, Symantec note une hausse de 500% des ransomwares, ces logiciels malveillants qui bloquent le système ou chiffrent les données et réclament une rançon à l'utilisateur pour qu'il retrouve le contrôle de son appareil (PC comme mobile sous Android avec les kryptolockers). « 3 à 5 % des victimes payent. » Des rançons qui évoluent entre 100 et 400 dollars, et ciblent essentiellement des particuliers. « Mais si ça tombe sur le serveur d'une usine, par exemple, la rançon sera nécessairement plus élevée. »
Êtes-vous prêt pour la prochaine attaque??
Le rapport de Symantec souligne également l'augmentation de 61% du nombre de vulnérabilités zero-day (23 en 2013), dont 97% exploitées via Java ou les serveurs Web Linux infectés. Ou encore l'utilisation des « trous d'eau » (watering hole) qui vise à infecter un site largement fréquenté et se servir des visiteurs pour propager des malwares (par exemple un éditeur qui fournit des outils de développement). Sans oublier les fausses offres qui prospèrent sur les réseaux sociaux (et représentent 81% des malwares sur ces médias contre 56% en 2012).
« La question désormais est 'Êtes-vous prêt pour la prochaine attaque??' car elle aura lieu », assure Laurent Heslault. Autrement dire, que faire pour prévenir l'assaut et revenir, si nécessaire, à un état de fonctionnement normal après une attaque et ses dégradations éventuelles?? C'est tout l'enjeu de la cyber-résilience qui passe essentiellement par la protection des données (locales ou dans le Cloud) en parallèle des infrastructures (firewall, identification/authentification.), la détection des attaques et la restauration pure et dure du fonctionnement du SI (PRA/PCA).
Lire aussi : Pourquoi les mots de passe « sans date d'expiration » peuvent être une décision risquée
« Il y a un vrai problème de sensibilisation des dirigeants qui ne comprennent pas toujours les nouvelles technologies IT mais aussi des responsables sécurité qui ne savent pas communiquer car on leur demande un retour sur investissement là ou il ne peut pas y en avoir, résume Laurent Heslault. Les entreprises qui progressent mieux sont celles où les équipes de gestion du risque dialoguent bien avec celles de l'informatique. »
crédit photo © bloomua - shutterstock
Lire également
Un milliard de terminaux Android touchés par une faille de sécurité sans précédent
Sur le même thème
Voir tous les articles Cloud