L'erreur humaine première cause des attaques informatiques
« Cette année, ce qui est nouveau est qu'il n'y a rien de nouveau à dire », commente Robinson Delaugerre, expert en sécurité et enquêteur forensic chez Verizon depuis deux ans à propos du rapport Data Breach Investigations (DBIR) 2016. « Ce qui est nouveau, nuance-t-il, est que le profil des menaces est très consistant avec celui de l'année précédente. Et que les attaquants sont extrêmement professionnalisés. » Construit à partir de plus de 100 000 incidents de sécurité dans 82 pays et l'analyse de 2 260 intrusions, auxquels s'ajoutent les données, anonymisées, de 67 partenaires (institutionnels et industriels) ce rapport permet « une fois par an depuis 2008, de sortir la tête du guidon pour regarder cet ensemble de données afin de voir les tendances et proposer des réponses pertinentes sur le long terme ».
Pour y parvenir, Verizon établit, depuis 3 ans, neuf modèles (patterns) qui recouvrent 80 à 90 % des attaques afin de proposer des contre-mesures ciblées face à ces grandes typologies d'intrusion. « Etudier ces modèles vous aidera à comprendre comment mieux déployer vos ressources et budget pour atteindre les meilleurs résultats », suggère le rapport à la rédaction duquel Robinson Delaugerre précise n'avoir néanmoins pas participé directement.
Erreurs humaines et menaces internes en tête
La première de ces neuf catégories concerne les erreurs humaines. Mauvaise configuration, envoi d'e-mail au mauvais destinataire, publication involontaire de données, etc., représentent plus de 17 % des incidents de sécurité. Suivent la menace interne (vols de données par un employé mécontent ou commercial qui part avec son carnet d'adresses.) à plus de 16 %, les pertes ou vols de PC, tablettes et autres smartphones qui, avec 15,1%, sont à peine plus conséquent que les dénis de service, souvent par attaques DDoS (15 %) « parce que les botnets, c'est pas cher aujourd'hui », rappelle l'expert de Verizon. Les malwares, avec une montée en puissance des ransomwares qui comptent pour 39 % des attaques par « crimeware », sont très actifs à plus de 12 % des cas étudiés devant les attaques des applications web (8,3 %). Les intrusions dans les points de paiement (particulièrement aux Etats-Unis), le cyber-espionnage et les fausses cartes de paiement complètent la liste mais comptent pour moins de 1 % des types d'attaques chacun.
Les auteurs du rapport soulignent ne pas encore avoir constaté d'incidents significatifs impliquant la mobilité ou l'Internet des objets. « Mais la menace est réelle. Les preuves de faisabilités d'exploitation ont été démontrées, ce n'est qu'une question de temps avant de voir apparaître des violations à grande échelle. »
Une certaine maturité
Cet environnement de menaces « qui n'a pas fondamentalement changé », donc, entre 2015 et 2014, offre une visibilité beaucoup plus complète qu'avant sur les risques depuis un an ou deux. « C'est le signe d'une certaine maturité de l'industrie de la sécurité », estime Robinson Delaugerre. Mais elle montre aussi que, « en tant que défenseur, nous n'avons pas été capables de mettre une pression suffisante sur les attaquants pour les décourager alors que leur plan d'action est relativement similaire d'une cible à l'autre ». Autrement dit, les méthodes des attaquants n'auraient pas eu besoin d'évoluer ces dernières années puisqu'ils ne rencontrent pas d'obstacles majeurs qui les y pousseraient même si la première attaque fait prendre conscience à l'entreprise de renforcer sa posture sécuritaire. « C'est plus facile pour un RSSI de convaincre de la rentabilité d'un renforcement de la sécurité une fois que l'on peut présenter le coût d'une attaque. »
Néanmoins, les actions conséquentes de cette prise de conscience sont diverses selon les entreprises. Certaines se contentent de « faire le nécessaire pour ne pas retomber dans le panneau et, auquel cas, les attaquants repeignent le panneau, le déplacent un peu à droite et recommencent leurs attaques ». D'autres, « les bons élèves », prennent conscience de la nécessité de garder le contrôle de leurs infrastructures. Ce qui passe par une réflexion en amont de l'approche sécuritaire et une approche orthogonales des défenses qui implique une surveillance de tous les points du système.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
Des dépenses en sécurité mal allouées
« Le process est encore difficile, reconnaît notre interlocuteur, car nous avons encore du mal à prouver la valeur ajoutée pour le business d'une bonne sécurité. » Mais, selon lui, si les budgets sécurité augmentent, les dépenses en sécurité « ne sont pas nécessairement allouées où ils faut ». Aujourd'hui, elles se font essentiellement dans la remédiation et en conseil. « Mais ce que l'entreprise a dépensé pour remettre son système en état après une attaque, elle aurait pu l'investir en amont pour éviter cette attaque. » Selon l'expert en sécurité depuis 10 ans et qui s'est notamment exercé aux tests d'intrusion, les services managés et appliances censés réduire de 95 % les risques de sécurité avec peu d'opex « ne marchent pas ». « Investir dans ces techniques sans mettre de moyens humains revient à poser un pansement sur une plaie ouverte ». Et d'illustrer : « C'est bien gentil de faire un audit de sécurité une fois l'application développée quand ce serait beaucoup plus intéressant de mettre en place un système sécurisé et de faire en sorte que les vulnérabilités n'arrivent pas en production. » Dans l'idéal, « la sécurité devrait s'intéresser au métier, et le métier devrait être intéressé à la sécurisation de ses outils, laquelle devrait être un sous produit de la bonne sécurisation du code ».
La sécurité nécessite aussi une culture propre dans laquelle chaque salarié de l'entreprise doit être attentif aux risques d'attaque et conscient des conséquences qu'ils entraînent. Ce qui arrive, peut-on espérer, avec la nouvelle génération d'utilisateurs déjà habitués de par leurs usages personnels à la double authentification ou encore aux alertes d'usage de leurs comptes en ligne. « La culture sécurité se met péniblement en place tout comme la culture qualité dans l'industrie a mis du temps à être acceptée, compare Robinson Delaugerre. La métrique zéro incident de sécurité ne fait pas encore sens pour tout le monde. Mais ça viendra. » Reste à savoir quand.
Lire aussi : { Tribune Expert } - Trois défis en développement logiciel qui impactent les gains de productivité de votre IA
Sécuriser les Scada : « ce sera cher et difficile », dit Kaspersky
Sécurité du Cloud : le flou demeure entre l'IT et les métiers
Un mixte de machine learning et d'expertise humaine pour mieux prévenir les attaques informatiques
crédit photot © Nikuwka - shutterstock
Sur le même thème
Voir tous les articles Business