Pour gérer vos consentements :

Cybersécurité : le « credential stuffing » coûte cher aux entreprises

Les attaques de type « credential stuffing », autrement dit le test et l’injection automatique d’identifiants volés pour accéder aux comptes d’utilisateurs sur plusieurs sites, se multiplient. « Des listes d’identifiants et de mots de passe volés circulent sur le dark web », a déclaré, rapport à l’appui, Jay Coley, directeur stratégie de sécurité chez Akamai. Et « les cybercriminels utilisent des botnets pour valider ces listes en utilisant les pages de connexion d’autres organisations, élargissant ainsi l’impact d’une attaque. »

Le coût pour les entreprises ciblées n’est pas négligeable. C’est ce que montrent les résultats d’une enquête* commandée par Akamai au Ponemon Institute. Elle a été menée auprès de responsables de la sécurité informatique et de la gestion des risques.

Voici 5 points à retenir du rapport pour la région EMEA (Europe, Moyen-Orient, Afrique) :

1. Les entreprises interrogées exploitent en moyenne 26,5 sites web accessibles au public.

2. Ces organisations ont été la cible d’une moyenne mensuelle de 10,9 attaques de « credential stuffing », l’an dernier. Or, 27,5% de ces attaques n’auraient pas été détectées.

3. Chaque attaque par injection d’identifiants volés cible une moyenne de 1 041 comptes utilisateurs. Or, 10,97% des tentatives parviennent à identifier des identifiants valides.

4. Hors fraude liée à un accès frauduleux, le coût moyen de gestion du « credential stuffing » est estimé à 3,8 millions de dollars par an. Cette somme se répartit ainsi :

> 1,1 M$ pour la prévention, détection et correction par l’équipe en charge de la sécurité IT de l’organisation concernée ;
> 1,2 M$ par an du fait de l’indisponibilité d’applications lors de pics de trafic ;
> 1,5 M$ par an associés à la perte de clients.

5. Quant au coût financier de la fraude liée aux attaques de « credential stuffing », il peut varier d’une moyenne annuelle de 227 550 dollars (si une perte monétaire touche 1% des comptes piratés) à 22,8 millions dollars (100% de comptes entraînent une perte monétaire).

Pour le fournisseur CDN (content delivery network) Akamai, les entreprises ont donc intérêt à « se doter d’outils de gestion de bots ». Des outils qui leur permettent de « surveiller les comportements » et de « distinguer les connexions » légitimes des tentatives frauduleuses.

*Dans le cadre du rapport « The Cost of Credential stuffing – EMEA », 544 responsables de la sécurité informatique d’entreprises de taille moyenne et de grands groupes ont été interrogés en 2018.

(crédit photo © scyther5 / Shutterstock)

Recent Posts

Après la NAND, Intel dit stop à la gamme Optane

Après avoir vendu son activité NAND, Intel tire un trait sur la technologie 3D XPoint,…

2 semaines ago

Google Analytics : la Cnil a posé les règles du jeu

Près de six mois ont passé depuis de que la Cnil a déclaré l'usage de…

2 semaines ago

Truffle 100 France : le top 20 des éditeurs de logiciels

Truffle 100 France : qui sont les 21 entreprises qui ont dépassé, en 2021, les…

2 semaines ago

Cloud : AWS brocarde les politiques de licences Microsoft

Un dirigeant d'Amazon Web Services dénonce des "changements cosmétiques" apportés par Microsoft à ses politiques…

2 semaines ago

Sécurité du code au cloud : Snyk Cloud, un joker pour développeurs

Snyk officialise le lancement de sa solution de sécurité cloud pour développeurs, Snyk Cloud, fruit…

2 semaines ago

Cegid accroche Grupo Primavera à son tableau d’acquisitions

Cegid va absorber Grupo Primavera, plate-forme de logiciels de gestion d'entreprise née dans la péninsule…

2 semaines ago