Vecteur d’intrusion initial, existence d’un plan de réponse automatisé, implication des forces de l’ordre… Dans quelle mesure ces éléments influent-ils sur les délais d’identification et de remédiation des fuites de données ? Le dernier rapport « Cost of a Data Breach » d’IBM comporte quelques indicateurs à ce sujet.
On a interrogé, dans ce cadre, 553 organisations touchées au moins une fois entre mars 2022 et mars 2023. Dont 34 en France. On n’a pas retenu les plus « petites » fuites (moins de 2160 enregistrements), ni les plus « grandes » (plus de 101 200 enregistrements).
Au global, le temps moyen pour identifier une fuite a été de 204 jours. Auxquels s’ajoutent 73 jours pour colmater.
Le plus long délai moyen identification (240 jours) est pour les attaques fondées sur des authentifiants volés ou compromis. Suivent celles de source interne (228) et celles basées sur de l’ingénierie sociale (218).
Même hiérarchie sur le délai de remédiation… et donc sur le délai global.
Sur le délai global, il y a environ un mois d’écart entre les fuites détectées par les organisations elles-mêmes et celles que des tiers leur ont signalées. On atteint 320 jours lorsque c’est l’auteur de l’attaque qui la révèle.
L’écart est également d’un mois environ selon que les attaques ont ou non donné lieu à une intervention des forces de l’ordre.
Pour les attaques impliquant des ransomwares (24 % du total), le gain de temps aura été de l’ordre de deux semaines pour qui disposait d’une forme de réponse automatisée.
Le délai moyen s’allonge de 13 % sur la phase d’identification et de 15 % sur la remédiation.
L’écart est moins grand que sur les paramètres précédents. Qu’il existe ou non, on est sous les 300 jours de délai moyen.
Pour les attaques qui n’ont impliqué que des environnement sur site, le délai global de traitement s’est élevé à 232 jours. À l’autre extrémité du spectre, le compteur est à 291 jours pour les environnements hybrides.
On constate un écart de près d’un mois sur le délai global (dont 18 jours sur la remédiation) entre les organisations disposant d’une équipe de réponse aux incidents et celles ayant testé leur(s) plan(s).
Les données qu’IBM communique ne permettent pas d’établir de liens de cause à effet, mais elles dénotent un bénéfice plus important pour les solutions d’ASM (gestion de la surface d’attaque) que de renseignement sur les menaces.
Le recours à des MSSP raccourcit plus sensiblement la phase de détection.
Illustration principale © Andrea Danti – Adobe Stock
Dans un avis consultatif, l'Autorité de la concurrence a identifié les risques concurrentiels liés à…
OpenAI signe un « partenariat de contenu stratégique » avec Time pour accéder au contenu…
Au lendemain du rejet de sa proposition de restructuration, David Layani annonce sa démission du…
Après un an, Hugging Face a revu les fondements de son leaderboard LLM. Quels en…
Mozilla commence à expérimenter divers LLM dans Firefox, en parallèle d'autres initiatives axées sur l'intégration…
VMware met VCF à jour pour y favoriser la migration des déploiements qui, sur le…