Marc Spitler, analyste « sécurité » au sein de l’équipe RISK de Verizon – unité du département solutions d’entreprise de l’opérateur américain de télécommunications –, précise les principales conclusions du rapport 2013 sur les violations de données (Data Breach Investigations Report – DBIR).
Marc Spitler – Verizon a travaillé avec 18 organisations à travers le monde qui ont fourni les données et analyses à la base du rapport 2013. Parmi ces entités figurent : l’Unité de recherche néerlandaise sur les crimes technologiques (NHTCU), le Centre européen de lutte contre la cybercriminalité (EC3) [NDLR : inauguré en janvier dans les locaux d’Europol] et les Services secrets américains (U.S. Secret Service) qui dépendent du Département de la Sécurité intérieure (U.S. Department of Homeland Security).
Cette multiplication du nombre de contributeurs permet de fournir une analyse détaillée sur l’état de la cybersécurité aujourd’hui. En publiant ce rapport, Verizon a toujours pour objectifs : d’améliorer la prise de conscience de la cybercriminalité mondiale, de contribuer au renforcement des capacités de l’industrie pour mieux combattre ce phénomène, et dans le même temps, d’aider les agences gouvernementales et organisations du secteur privé à développer leurs propres politiques de sécurité.
La cybercriminalité financière à grande échelle et l’espionnage pour le compte d’un État ont dominé le paysage de la sécurité l’an dernier. Ainsi, la cybercriminalité financièrement motivée constitue la majorité des infractions (75%) étudiées dans le cadre du DBIR 2013, suivie des campagnes d’espionnage d’État (20%). Ces dernières incluent les cybermenaces visant le vol de propriété intellectuelle – comme les informations classifiées, les secrets commerciaux et les ressources techniques – pour servir des intérêts économiques et nationaux.
Le DBDIR 2013 constate également que la proportion d’incidents impliquant des « hacktivistes » – qui agissent en fonction de motivations idéologiques ou simplement pour le plaisir – est restée stable. En revanche, la quantité de données volées a diminué, car de nombreux activistes se sont tournés vers d’autres pratiques telles que les attaques par déni de service distribué (DDoS). Ces attaques, qui visent à paralyser ou perturber les systèmes, ont également des coûts importants car elles nuisent aux entreprises comme à leurs opérations.
En 2012, les victimes étaient issues d’un large panel d’industries. Ainsi, 37% des intrusions ont concerné des organismes financiers, 24% des commerces et restaurants, 20% la production, les transports et les services publics et, dans la même proportion, les sociétés de services et médias. Globalement, 37% des cyberattaques ont ciblé de grandes structures et impliqué 27 pays différents.
D’autres résultats intéressants : 92% des violations de données sont le fruit d’attaques externes, 14% sont commises par des initiés. Cette catégorie comprend : les membres du crime organisé, les groupes d’activistes, les anciens employés, les pirates isolés et les organisations parrainées par des gouvernements étrangers. Comme lors de la précédente édition du DBIR, nous constatons que les partenaires commerciaux sont responsables d’environ 1% de ces infractions.
Par ailleurs, le piratage est à l’origine de 52% des violations de données. 70% des intrusions réseau exploitent des informations d’identification « faibles » ou volés (mots de passe, noms d’utilisateurs, etc.) ; 40% incluent des malwares (logiciels malveillants, scripts ou code utilisés pour compromettre des informations) ; 35% sont associées à des attaques physiques (par exemple, devant les automates et terminaux de paiement) et 29% des pratiques comme le phishing (quatre fois plus qu’en 2011).
Enfin, le délai entre la violation de données initiale et la découverte de l’infraction continue à se mesurer en mois, voire en années. Cependant, les infractions finissent, dans leur majorité (69%), par être détectées.
Trois principaux groupes commettent couramment des cyberattaques. Chaque groupe a des motivations et tactiques différentes, mais l’effet commun de leurs actions reste les perturbations, les pertes financières et les atteintes à la réputation. Comprendre les caractéristiques de ces groupes peut mieux préparer les organisations et réduire les risques.
Les activistes utilisent encore des méthodes très simples, mais ces dernières années ils ont enregistré des succès notables et largement médiatisés. Ils sont opportunistes. Leur objectif est de maximiser les perturbations et l’embarras de leurs victimes.
Motivés par le gain, les criminels choisissent des cibles avec plus de sophistication et de calcul. Ils utilisent souvent des techniques de piratage plus complexes que les activistes. Une fois qu’ils ont obtenu l’accès à un système d’information, ils prennent toutes les données qui peuvent avoir une valeur financière.
Souvent parrainés par un État, les espions utilisent les outils les plus sophistiqués pour commettre des attentats davantage ciblés. Ils sont déterminés et savent ce qu’ils veulent : des biens, des données financières, de la propriété intellectuelle ou des informations d’initiés.
J’ajoute que la majorité des incidents financièrement motivés que nous avons examinés ont pour origine les États-Unis ou l’Europe de l’Est – en particulier la Roumanie, la Bulgarie et la Fédération de Russie. Quant aux affaires d’espionnage, elles sont principalement attribuables à l’Asie orientale. D’où qu’elles viennent, les attaques peuvent toucher les entreprises partout dans le monde. Les frontières géographiques ne sont pas des protections face aux cyberattaques.
Malheureusement, aujourd’hui comme hier, aucune organisation n’est à l’abri d’une violation de données. La cybercriminalité est une réalité quotidienne et universelle. Tant qu’il y aura production, diffusion et stockage de données critiques d’entreprise, les organisations seront ciblées par les criminels désireux d’obtenir des informations et d’en tirer profit.
Toutes les organisations, grandes ou petites, sont concernées, car les tactiques utilisées par les cybercriminels évoluent constamment. Lorsqu’une porte se ferme et que des programmes de sécurité renforcés sont mis en œuvre, les criminels prennent un autre chemin et le cycle recommence. Toutefois, les entreprises peuvent se protéger et se préparer à d’éventuelles attaques.
Pour vous protéger, vous devez savoir : où, quand, pourquoi et comment les attaques sont susceptibles d’arriver et qui en sont les auteurs. Il faut savoir qu’une cyberattaque n’est pas un grand et unique événement, mais qu’elle s’inscrit le plus souvent dans une série d’événements du même genre. C’est seulement en comprenant bien les circonstances particulières et en ayant la maturité opérationnelle pour les traiter, que les incidents peuvent être évités ou limités. Cela vaut pour le secteur privé comme pour le secteur public et les gouvernements.
À dire vrai, nous croyons qu’une bonne attaque reste la meilleure défense. Il est donc impératif que les entreprises implémentent des mesures de sécurité essentielles sur l’ensemble de leur infrastructure. Les outils pour lutter contre la cybercriminalité sont facilement disponibles pour les entreprises, encore faut-il établir une sélection des bons outils et les utiliser de la bonne manière. En d’autres termes, les entreprises ont besoin de : comprendre leurs adversaires, connaître leurs motivations et leurs méthodes, se préparer et s’adapter.
Voici, pour conclure, quelques recommandations simples et pratiques :
Voir aussi
Sous la marque Horizon OS, Meta va ouvrir le système d'exploitation des casques Quest à…
Après avoir essaimé dans 145 pays, la communauté de femmes de la tech Women Who…
Les voix du CISPE et des associations d'utilisateurs s'accordent face à Broadcom et à ses…
Bonnes pratiques, indicateurs, prestataires... Aperçu de quelques arbitrages que le comité d'organisation de Paris 2024…
Le 31 mars 2023, le PTCC (Programme de transfert au Campus Cyber) était officiellement lancé.…
Nicolas Gour, DSI du groupe Worldline, explique comment l’opérateur de paiement fait évoluer sa gouvernance…