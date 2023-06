Selon ce rapport, ce sont les attaques par déni de services (inonder une entreprise de requêtes par Internet pour la bloquer numériquement) qui sont toujours les plus fréquentes (40 % en 2022 venant d’un pic en 2021 à 50 %) suivi des intrusions dans les systèmes de l’entreprise. Les dénis de service sont faciles à mettre en œuvre : il ne faut plus pirater des milliers d’appareils mal protégés sur Internet pour leur demander de se coaliser en botnet. Les clouds regorgent de capacité de calcul et de bandes passantes mobilisables plus facilement. Le débit médian des attaques a doublé et 2.5 % d’entre elles peuvent lancer des attaques avec des débits de 124 Gbits/s comme rien. La menace, c’est bloquer des sites d’e-commerce la veille du Black Friday et d’exiger une rançon pour qu’il ne se passe rien. Il y a peu de fuites de données qui proviennent des dénis de services. Les intrusions dans les systèmes et les applications web en sont bien plus souvent les causes. Dans ce dernier cas, les criminels se servent d’informations d’identification volées (login/password) pour accéder aux données auxquelles l’utilisateur accédait via le web, donc.

Un quart des brèches de données proviennent des ransomwares (logiciels malveillants NdlR.) qui font plus que chiffrer les données dans le réseau. Ils en extraient d’abord des données pour vous faire chanter mais les ransomware ne sont même pas le premier vecteur d’attaque pour les vols de données. Ce sont encore une fois les informations d’identification volées qui sont utilisées pour détourner des données. Il ne faut pas pénétrer d’abord à l’intérieur d’un réseau : avec ces informations, il suffit de se servir sur le site web.

C’est pour cette raison qu’il faut toujours une identification à deux facteurs (par ex. le mot de passe, quelque chose que vous connaissez et un code généré sur son smartphone, quelque chose que vous avez). L’hameçonnage n’est que la quatrième cause de brèche de données et le pretexting en cinquième place. Le pretexting est un contact de quelqu’un que vous pensez connaître, qui prétend être un proche ou, plus subtilement, une connaissance professionnelle que vous ne connaissez pas bien, qui est subitement dans le pétrin et qui n’a réussi à contacter que vous. Vous n’allez pas lui exprimer votre méfiance en pleine crise. Le pretexting, c’est aussi quand la boîte email de quelqu’un a été piratée : le hacker peut envoyer des emails comme si c’était le propriétaire du mail. L’exploitation des vulnérabilités, dans les logiciels, n’est à quelques pourcents seulement, dans ce classement, des causes de fuites de données. Il y a eu moins d’attaques qui ont eu lieu à travers un fournisseur compromis (de l’ordre de 5 % à 7 %) mais ce n’est pas vraiment une diminution. C’est l’augmentation de l’utilisation des informations d’identification volées qui réduit mécaniquement les autres vecteurs d’attaque.

L’humain, ennemi de la cyberperformance

C’est un facteur humain qui est la cause principale (74 %) des brèches de données : erreur (du contenu envoyé à la mauvaise personne, des informations publiées trop tôt, avec trop de détails) ou volontaire via l’utilisation de ses droits informatiques pour accéder à de l’information ou, de nouveau, l’utilisation d’information d’identification que quelqu’un s’est fait voler. La majorité des erreurs humaines proviennent des développeurs et des administrateurs systèmes, dans les deux cas autour de 40 %. Les utilisateurs finaux n’interviennent que dans 20 % des brèches alors qu’on aurait pensé l’inverse. Les développeurs et administrateurs ont plus d’accès : donc, cela se termine plus souvent mal. À 83 %, les brèches impliquent des acteurs externes qui ne sont motivés que par l’argent (95 %). Ils proviennent du crime organisé qui excelle aux techniques sophistiquées pour pénétrer les systèmes de la victime.

Les trois moyens avec lequel un attaquant arrive à entrer dans un réseau de l’entreprise sont les informations d’identification volées (50 %), le phishing (17 %) et l’exploitation de vulnérabilités. Ce sont dans les serveurs informatiques que les données sont le plus souvent volées (80 % des cas), pas tellement les appareils des utilisateurs (20 % des cas). Les données volées sont dans un cas sur deux des données personnelles suivies des informations d’identification (forcément), ensuite les données internes à l’organisation. Les données médicales, bancaires ou de paiement arrivent en 5ème, 6ème et 8ème position.

Grâce aux données du FBI et de son guichet mis à disposition des victimes, Verizon a pu mettre à jour l’impact d’un ransomware sur les organisations de toutes les tailles. Le coût médian a doublé à 26 000 USD. Si 95 % des ransomwares ont un coût inférieur à 2.25 millions de dollars, autant ne pas penser aux 5 % restant malchanceux qui doivent crever les plafonds. Ceci dit, le montant des rançons diminue car la taille des victimes également. Il faut exiger une rançon réaliste si on veut être payé mais le coût pour s’en remettre augmente avec tous les “faux frais”. Les ransomwares pénètrent les organisations par les emails (30 %), les applications pour accéder aux ordinateurs à distance (20 %). Via les applications web, les ransomwares peuvent aussi vous tomber dessus.

Les appareils individuels

La perte d’appareils a une place à part dans ce panthéon : c’est la cause des fuites de données qui émanent d’appareils portables. Le vol n’intervient que pour quelques pour cent. Mais l’incertitude est pesante : l’appareil a -t-il été retrouvé, les données ont-elles été consultées (si aucun chiffrage par défaut n’est paramétré sur l’appareil) ? On perd plus souvent son téléphone mobile (70 % des cas) que son ordinateur (portable), dans 25 % des cas.

La priorité des attaques est décidément sur l’ingénierie sociale pour tromper l’utilisateur final et pénétrer à l’insu de son plein gré dans les systèmes. Les sociétés les mieux protégées pensent qu’elles sont immunisées grâce aux technologies cyberdéfensives impénétrables. D’autres pensent qu’elles n’intéressent personne parce qu’elles sont trop petites. Grave erreur : avec les collaborateurs, elles se retrouvent soudain sur pied d’égalité avec les autres parce qu’on ne peut pas patcher le comportement humain. Il faut sophistiquer les entraînements des employés qui ne doivent pas se limiter aux tests d’hameçonnage ou aux vidéos interactives. Il faut organiser des tests de pretexting, essayer de tromper l’employé lors de tests audacieux. Il faut raconter des cas réels. Les comportements (à risque) dans la sphère privée sont souvent transposés au bureau ou bien, une fois chez soi, on oublie ce qu’on a appris au bureau. Préparez vos gens surtout si vous êtes actif dans le secteur financier, médical, dans l’administration publique ou les services : c’est là qu’il y a le plus de données personnelles.