Sécurité : Les cyberattaques sont essentiellement focalisées sur les PC, et non sur les mobiles, selon Verizon . Phishing et hacking constituent toujours les principaux vecteurs d’attaque des entreprises en 2015.

Frédéric Hourdeau

News

le 20/04/2015 à 18h40

Tweeter

Selon le rapport cyber sécurité 2015 de Verizon, phishing et hacking constituent toujours les vecteurs d’attaque des entreprises. « Il suffirait que les entreprises fassent preuve d’un peu plus de vigilance dans la gestion des risques pour obtenir de bien meilleurs résultats » !

Verizon vient de présenter l’édition 2015 de son «Data Breach Investigations Report » (DBIR), sa huitième étude annuelle sur l’évolution de la cybercriminalité.

Voir le rapport complet : http://www.verizonenterprise.com/DBIR/2015/?utm_source=pr&utm_medium=pr&utm_campaign=dbir2015

 

   

 

Le rapport est composé à partir des données collectées auprès de 79 800 incidents de sécurité signalés dans 61 pays par 70 organisations(experts en sécurité informatique, fournisseurs d’accès, agences gouvernementales…).

Au total, les experts de Verizon ont traité 12 To de données pour produire ce document de plus de 60 pages.

Les trois principaux secteurs les plus attaqués sont :

-          les organismes publics (plus de 50 000 incidents),

-         les médias (près de 1500)

-         et les services financiers (642).

Si les pertes de donnéesconcernent avant tout le secteur public (303 attaques réussies) et les services financiers (277), l’industrie (235) devance les médias dans le Top 3.

Le commerce de proximité, dont on connait les grosses affaires de Target ou Home Depot, aux USA, n’a subi « que »164 attaques réussies pour 523 incidents de sécurité signalés.

Phishing et hacking ont toujours la vedette ! Un manque de vigilance :

Le rapport met en évidence l’usage toujours aussi élevé des vieilles techniques que sont le phishing et le hacking pour pénétrer les systèmes. « 70% des cyberattaques utilisent une combinaison de ces techniques », indique le rapport.

Ainsi, l’application des correctifs de sécurité reste visiblement toujours aussi aléatoire pour ne pas dire peu mise en œuvre.

99,9% des vulnérabilités exploitées dans les attaques dataient de plus d’un an.

Et certaines, parmi les plus utilisée l’année dernière remontent à 2007 quand ce n’est pas 1999 (pour plus de 30% des exploitations).

Pour le phishing, malgré la popularité de la méthode (23% des destinataires ont ouvert un courriel d’hameçonnage en 2014 et 11% ont cliqué sur la pièce jointe, souvent infectieuse) il  est à l’origine de plus des deux-tiers du cyber-espionnage, et cela depuis deux ans.

« Rien ne permet de se protéger à 100% c’est certain, mais il suffirait que les entreprises fassent preuve d’un peu plus de vigilance dans la gestion des risques pour obtenir de bien meilleurs résultats.

«C’est une constatation récurrente depuis plus de dix ans », déclare Mike Denning, le vice-président des activités de sécurité de Verizon Enterprise Solutions. Il fait notamment référence au décalage entre les attaques et le temps que met l’entreprise à découvrir l’agression.

 

Des attaques réalisées en « en quelques minutes » pour 60% des cas !

En 2014, les trois quart des attaques étaient réalisées en moins d’une journée, et même « en quelques minutes » pour 60% des cas, alors qu’à peine 30% des constatations se font sur la même période du côté des entreprises.

Evolution des délais d’attaques et de leur détection en moins d’un jour :

 

Neuf scénarios d’attaques :

Globalement, Verizon dégage neuf scénarios d’attaques les plus fréquents :

-         erreurs diverses (comme l’envoi d’un e-mail au mauvais destinataire);

-         installation de malwares; malveillances internes/abus d’autorisation;

-         perte/vol physique; attaque d’applications Web;

-         attaque par déni de service (DDoS);

-         cyber espionnage; intrusions sur les points de vente;

-         et vol/clonage de carte bancaire.

Les 9 scénarios les plus courants d’attaques réussies en 2014.

Les conséquences financières :

La division entreprise de chez Verizon s’est également attaché à améliorer le modèle d’évaluation des conséquences financières liées aux attaques.

A partir de l’analyse de près de 200 demandes d’indemnisation dans des dossiers de cyber responsabilité, les experts ont établi un modèle de calcul qui s’appuie sur à la fois au volume de données dérobées et à leur nature (numéros de cartes bancaires, de sécurité sociale, données de santé…).

Il en ressort ainsi, par exemple, que dans 95% des cas, un vol de 10 millions d’informations coûtera entre 2,1 et 5,2 millions de dollars à ses victimes.  Mais il peut atteindre aussi jusqu’à 74 millions dans certains cas.

Pour 100 millions d’enregistrements récupérés, la facture s’établit entre 5 et 15,6 millions de dollars, toujours dans plus de 9,5 cas sur 10.

ð Les mobiles moins touchés !

Pour la première fois, Verizon a également porté son attention  sur la sécurité mobile et celle des objets connectés.

Verizon note que seulement  0,03% des dizaines de millions de smartphones étudiés chaque semaine sur le réseau de Verizon Wireless sont considérés comme infectés par un code malveillant de haut niveau :

Et c’est sur des smartphonesAndroid dans 96% des cas.

L’essentiel des « infections » se concentre sur les adware qui, s’ils présentent l’inconvénient d’aspirer des données personnelles souvent sans le consentement des utilisateurs, ne sont pas nocifs en soit pour la sécurité de l’entreprise.

Leur nombre est néanmoins en progression rapide de 300000 en 2013 à 410000 et ce, rien qu’au premier trimestre 2014.

« Les terminaux mobiles ne constituent pas un vecteur d’attaque privilégié », conclut Verizon.

ð L’internet des objets :

Concernant l’Internet des objets (IoT), les auteurs du rapport sont confrontés à « l’absence d’attaques réelles constatées (au-delà des démonstrations de faisabilité) pour dresser un état des lieux et tenter de définir une tendance ».

Ils n’en pensent pas moins que les dispositifs type M2M/objets connectés appelés à se multiplier (5 milliards selon Verizon en 2020) et être toujours plus omniprésents attireront l’intérêt des cybercriminels qui pourrait les exploiter pour pénétrer les systèmes où les intégrer au sein d’un botnet pour lancer des attaques DDoS (1).

Les recommandations :

Face à ces risques, Verizon se contente de dresser ses recommandations aux organisations pour protéger leurs données depuis des dispositifs dont l’OS est parfois figé (pas de mise à jour possible) :

-         ne conserver que les données indispensables;

-         installer des systèmes d’autorisation du transfert de la donnée;

-         ou encore les chiffrer et les « anonymiser ».

Des paramètres que les entreprises devront intégrer dans leur politique de sécurité à l’avenir.

(1)           Une attaque par déni de service (denial of service attack, d'où l'abréviation DoS) est une attaque informatique ayant pour but de rendre indisponible un service, d'empêcher les utilisateurs légitimes d'un service de l'utiliser.

Il peut s'agir de :

- l’inondation d’un réseau afin d'empêcher son fonctionnement ;

-la perturbation des connexions entre deux machines, empêchant   l'accès à un service particulier ;

- l'obstruction d'accès à un service à une personne en particulier ;

- le fait d'envoyer des milliards d'octets à une box internet.

L'attaque par déni de service peut ainsi bloquer un serveur de fichiers, rendre impossible l'accès à un serveur web ou empêcher la distribution de courriel dans une entreprise.