Cybersécurité : le « credential stuffing » coûte cher aux entreprises
Les attaques de type « credential stuffing », autrement dit le test et l'injection automatique d'identifiants volés pour accéder aux comptes d'utilisateurs sur plusieurs sites, se multiplient. « Des listes d'identifiants et de mots de passe volés circulent sur le dark web », a déclaré, rapport à l'appui, Jay Coley, directeur stratégie de sécurité chez Akamai. Et « les cybercriminels utilisent des botnets pour valider ces listes en utilisant les pages de connexion d'autres organisations, élargissant ainsi l'impact d'une attaque. »
Le coût pour les entreprises ciblées n'est pas négligeable. C'est ce que montrent les résultats d'une enquête* commandée par Akamai au Ponemon Institute. Elle a été menée auprès de responsables de la sécurité informatique et de la gestion des risques.
Voici 5 points à retenir du rapport pour la région EMEA (Europe, Moyen-Orient, Afrique) :
1. Les entreprises interrogées exploitent en moyenne 26,5 sites web accessibles au public.
2. Ces organisations ont été la cible d'une moyenne mensuelle de 10,9 attaques de « credential stuffing », l'an dernier. Or, 27,5% de ces attaques n'auraient pas été détectées.
3. Chaque attaque par injection d'identifiants volés cible une moyenne de 1 041 comptes utilisateurs. Or, 10,97% des tentatives parviennent à identifier des identifiants valides.
4. Hors fraude liée à un accès frauduleux, le coût moyen de gestion du « credential stuffing » est estimé à 3,8 millions de dollars par an. Cette somme se répartit ainsi :
> 1,1 M$ pour la prévention, détection et correction par l'équipe en charge de la sécurité IT de l'organisation concernée ;
> 1,2 M$ par an du fait de l'indisponibilité d'applications lors de pics de trafic ;
> 1,5 M$ par an associés à la perte de clients.
5. Quant au coût financier de la fraude liée aux attaques de « credential stuffing », il peut varier d'une moyenne annuelle de 227 550 dollars (si une perte monétaire touche 1% des comptes piratés) à 22,8 millions dollars (100% de comptes entraînent une perte monétaire).
Pour le fournisseur CDN (content delivery network) Akamai, les entreprises ont donc intérêt à « se doter d'outils de gestion de bots ». Des outils qui leur permettent de « surveiller les comportements » et de « distinguer les connexions » légitimes des tentatives frauduleuses.
*Dans le cadre du rapport « The Cost of Credential stuffing - EMEA », 544 responsables de la sécurité informatique d'entreprises de taille moyenne et de grands groupes ont été interrogés en 2018.
(crédit photo © scyther5 / Shutterstock)
Sur le même thème
Voir tous les articles Cybersécurité