La majorité des cyberattaques pourraient aisément être contrées par les entreprises

À l’occasion du mois européen de la cybersécurité, le cabinet de conseil Wavestone a présenté mardi 8 octobre 2019 les conclusions de son étude dédiée aux incidents rencontrés par les entreprises en la matière. Avec un constat : les pirates, dont la motivation première reste le gain financier, présentent peu de capacités techniques. Leurs attaques pourraient donc facilement être contrées, à condition d'être prises dans les temps.

L’argent reste le nerf de la guerre. Selon le cabinet de conseil Wavestone, qui présente mardi 8 octobre 2019 sa nouvelle étude* consacrée aux cyberattaques dans le monde de l’entreprise, près de la moitié des pirates (43 %) seraient motivés par le gain financier. Majoritairement dus à des ransomwares, les incidents peuvent prendre davantage d’ampleur lorsqu’ils sont suivis d’actions frauduleuses.

Le vol de données représenterait, pour sa part, 34 % des attaques. Une opération qui vise à mettre la main sur certaines données métiers telles que les coordonnées de clients ou leurs identifiants bancaires. A noter qu’à l’heure des réseaux sociaux, s’emparer de l’image publique d’une entreprise peut aussi être extrêmement dommageable à cette dernière. Il s’agirait aujourd’hui de 4 % des cas de piratages.

167 JOURS ENTRE UNE INTRUSION ET SA DÉTECTION

Une compromission de vos données ne signifie pas pour autant que vous êtes la cible finale d’une attaque. Environ 4 % des attaques subies par les entreprises visent à se renseigner sur ses partenaires… ou à renforcer les stratégies du pirate. Pour contrecarrer ses plans, rien ne vaut une surveillance au jour le jour de votre système d’informations. Les sociétés les mieux armées à ce niveau (50 % de l’ensemble de celles qui ont été interrogées) parviennent à mettre un terme aux agissements criminels en moins de deux jours, relève Wavestone. Celles qui ne prêtent pas beaucoup d’attention à ces questions ne détecteraient l’intrusion qu’au bout de 167 jours – soit près de six mois en moyenne.

Une autre donnée, "plus inquiétante encore" selon le cabinet de conseil : seuls 26 % des incidents de sécurité sont identifiés par le service de détection cybersécurité de l’entreprise. Dans 44 % des cas, ce sont les collaborateurs qui ont donné l’alerte. De quoi alarmer sur les méthodes employées par les organisations. L’une de celles ayant pris part au panel a mis jusqu’à six ans à détecter une attaque ! "En cas de crise avérée, il faut compter une semaine pour se débarrasser d’un ransomware et trois et demi pour un ransomworm, estime Wavestone, qui pointe par ailleurs les conséquences élevées sur le chiffre d’affaires. Cela monte jusqu’à six semaines pour une reconstruction saine du cœur de confiance d’un système d’information, puis pour réimporter toutes les données métiers." Evidemment, ces données peuvent varier en fonction de la taille de l’entreprise et de la typologie de l’attaque.

LES PIRATES PRÉSENTENT DE FAIBLES CAPACITÉS TECHNIQUES

S’il y a bien un qualificatif pour décrire l’écrasante majorité des pirates, c’est celui d’opportuniste. Environ 65 % d'entre eux ne visent ni une entreprise ni une technique d’attaque en particulier. Ils se contentent de chercher les failles qui leur permettront de prendre le contrôle d’un système peu ou mal protégé. "Ces intrusions pourraient être évitées si les mesures de sécurité étaient situées au-dessus de la moyenne", commente Wavestone dans son étude. Dans un cas sur trois, les criminels exploitent une application Web vulnérable pour atteindre leurs objectifs. Dans une précédente enquête, le cabinet de conseil jugeait d’ailleurs que tous ces outils "sont autant de portes d’entrée facilement accessibles".

Il est opportun d'être attentif au services RDP (cas des Windows) qui permettent d’accéder à un système d’information à distance, qu’il ne soient pas exposés sur Internet. C’est de cette façon que 10 % des attaques débutent. Le spear-phishing pour viser un organisme spécifique affiche le même ratio. Pour environ 20 % des compromissions étudiées par Wavestone, il a été impossible de déterminer le moyen mis en œuvre par les pirates pour mener leurs exactions. Ces derniers afficheraient des profils relativement divers. Ainsi, 21 % dépendraient des organisations cybercriminelles d’envergure, 26 % de groupes moins connus mais méthodiques et 26 % agiraient seuls. Alors que les étudiants en informatique surnommés "script kiddies" représentent pas moins de 17 % des cas, les collaborateurs internes des entreprises touchés pourraient être responsables de 8 % des attaques.

 

* Ce benchmark est issu de la consolidation des données anonymisées de 40 réponses à incidents menés par le CERT-Wavestone entre septembre 2018 et août 2019 auprès de 40 organisations appartenant au Top 200 des entreprises françaises, issus de 10 secteurs d’activités différents : Banque, Assurance, Distribution, Industriel, Public, Santé, Service, Sport, Télécom, Transports.

 

Lieben AHOUANSOU

IT Security Analyst