Stratégie

Insécurité : les DSI sous le feu des cybermenaces

Les cybermenaces s'accumulent mais les réponses ne sont pas toujours appropriées.

Les études se multiplient pour détailler toutes les cybermenaces affectant les systèmes d'information. Et les entreprises ne réagissent pas toujours de manière pertinentes, d'autant que la dimension humaine des risques ne devrait pas être autant négligée.

PublicitéFace à la multiplication des cybermenaces, la sécurité des systèmes d'information peut-elle encore être assurée ? Indubitablement, le sujet ne peut être traité qu'au travers d'une gestion des risques. Mais il reste tout de même à prendre en compte des tendances afin d'adapter au mieux les réponses à adopter face à ces cybermenaces.
Les études sur ce thème se sont récemment multipliées. Il s'agit ici d'en synthétiser les enseignements. Sur le même sujet, l'étude Comment protéger le SI contre les nouvelles cybermenaces ? a été réalisée à partir d'une enquête menée en ligne par CIO à l'occasion de la Matinée Stratégique du 16 février 2016 Cybersécurité : les nouvelles menaces contre le système d'information.

Des vulnérabilités de plus en plus critiques

En 2015, selon l'étude HPE Cyber Risk Report 2016, les attaques se sont accrues autant en nombre qu'en sophistication même si le nombre de malwares régresse légèrement (3,6%). Cette étude relève une nouvelle fois le paradoxe de la nécessité de ne pas bloquer l'innovation ou la collaboration (y compris mobile) et de la nécessité opposée de garantir la sécurité d'un système d'information que l'on ouvre aux quatre vents.
Pour HPE, les attaques ne visent plus le réseau ou l'infrastructure. A l'inverse, pour Dell, l'augmentation du trafic chiffré SSL/TLS, aujourd'hui près de 65% du trafic Internet, permet de mieux dissimuler une attaque. L'étude Crumbling Cybersecurity réalisée par le cabinet Vanson Bourne sur la commande de Venafi souligne que, pour la plupart des DSI et RSSI, les attaques dissimulées dans les flux cryptés sont peu ou pas détectables. Des clés de cryptage compromises et entre des mains mal intentionnées sont donc des armes redoutables.
Malgré tout, pour HPE, c'est bien le niveau applicatif qui est le plus en danger. Applications web et, de plus en plus, applications mobiles (surtout celles exigeant une identification de l'utilisateur) sont des sources de fragilité importantes : 75% de celles étudiées contenaient ainsi des vulnérabilités. Les API sont à l'origine de davantage de vulnérabilités sur les applications mobiles que sur les applications web. Le pire est que les vulnérabilité sont le plus souvent connues depuis longtemps : le Top 10 était ainsi identifié depuis un an au moins, les deux-tiers depuis trois ans !
La famille Stuxnet est toujours à l'origine de 29% des attaques, malgré les correctifs. Mais l'étude X-Force 2016 d'IBM souligne que les malwares évoluent fortement. Les criminels aussi croient en l'innovation ! Dyre, Zeus, Tinba... sont autant de souches qui évoluent par itérations.
Même si, selon l'étude HPE Cyber Risk Report 2016, Windows reste la plate-forme la plus attaquée (42% du nombre), les systèmes Android (+153%) et Apple iOS (+230%) connaissent les plus fortes progressions. Les éditeurs diffusent de nombreux correctifs -2015 a été un record en nombre de correctifs diffusés selon le HPE Cyber Risk Report 2016- mais le risque demeure si les correctifs ne sont pas appliqués par les utilisateurs finaux. Ce qui est malheureusement fréquent. De son côté, le Dell Security Annual Threat Report relève une croissance exponentielle des ransomwares sur les terminaux mobiles Android (en attendant les attaques contre les véhicules connectés). A l'inverse, les attaques Flash zero-day sont plutôt en recul. Pour Kaspersky, le volume des malwares mobiles a triplé en 2015 par rapport à 2014 ! Pour l'éditeur russe, les trojans bancaires sont en recul (-58%) mais les ransomwares explosent d'un facteur cinq ! L'étude Human Factor 2016 réalisée par Proofpoint note à l'inverse une recrudescence des chevaux de Troie bancaires de type Dridex.

PublicitéLes attaques DDoS de plus en plus nombreuses mais plus courtes

Bien entendu, les attaques DDoS ne sont pas reste. Elles sont étudiées par Etat des lieux de la sécurité sur Internet 2015-T4, un document régulier réalisé par Akamai. Au cours du quatrième trimestre 2015, les attaques contre les applications web se sont accrues de 28% et les DDoS classiques de 40% par rapport au trimestre précédent. En moyenne, chaque entreprise visée l'a été 24 fois au cours de la période mais trois ont subi 100 attaques chacun, le record étant détenu par une entreprise victime de 188 attaques, soit plus de deux par jour !
Les DDoS sont, selon Akamai, moins massives et plus courtes qu'avant (une quinzaine d'heures en moyenne) mais reposent sur des techniques de réflexion pour augmenter le trafic généré. 97% des attaques DDoS s'en prennent aux couches 3 et 4 des infrastructures et 21% contenaient des fragments UDP.Le détournement de plus en plus fréquent des protocoles CHARGEN, DNS et SNMP entraînent des charges réseau qui peuvent être très lourdes. Une attaque DNS contre un domaine sécurisé avec DNSSEC génère ainsi bien plus de volume de données qu'une attaque contre un DNS non-protégé. Les attaques DDoS sont, de plus en plus souvent, multi-facteurs : 42% des cas au cours du quatrième trimestre 2015.

Des dirigeants de plus en plus dépassés

Sur le papier, quand on les interroge, les dirigeants d'entreprises, selon l'étude C-Suite d'IBM, sont persuadés du caractère prioritaire et stratégique de la cybersécurité. C'est une préoccupation majeure pour 68% d'entre eux, 75% jugeant importante une stratégie globale de sécurité. 94% sont conscients que leur entreprise sera probablement un jour ou l'autre attaquée. Beaucoup sont également persuadés qu'ils doivent davantage s'engager auprès du RSSI afin de soutenir ses initiatives. L'étude réalisée par Redshift Research sur commande de Palo Alto Networks nuance cependant cet enthousiasme puisque la moitié des décideurs considèrent que, au final, c'est bien au service informatique de gérer seul les cybermenaces.
Mais, une fois les belles déclarations symboliques achevées, la réalité est évidemment moins rose. La méconnaissance des menaces réelles est criante. Pour IBM, dans C-Suite, seuls 17% des dirigeants interrogés sont « cyber-sécurisés », c'est à dire au point sur les cybermenaces et sur les actions à mener. Redshift Research relève que plus d'un décideur sur dix comprend à peu près les cyber-risques mais doit chercher des informations sur Google quand on lui en parle...
Ainsi, selon l'étude C-Suite d'IBM, 70% des dirigeants craignent les activités de pirates isolés alors que 80% des attaques proviennent de réseaux mafieux. Un tiers seulement des dirigeants est prêt à partager avec l'extérieur des informations sur les cyberattaques dont son entreprise aurait pu être victime alors que la moitié estime qu'il faut accroître la collaboration !
L'étude réalisée par Redshift Research relève que l'efficacité de la politique de cyber-sécurité est encore très souvent (25% des cas) estimée en fonction du nombre d'incidents repérés et bloqués. Dans cette logique, la passoire qui ne voit rien est donc le meilleur système ! Les deuxième et troisième critères, guère meilleurs, sont la durée de résolution des incidents (21%) et la durée depuis le dernier incident (13%).
Côté DRH, selon IBM, la formation des employés est un parent pauvre : 57% des entreprises ont mis en place une formation ou une sensibilisation formelle à la cybersécurité.

Des failles de plus en plus humaines

Or « les cyberattaques se nourrissent des comportements humains » relève l'étude Human Factor 2016 réalisée par Proofpoint. Plutôt que de s'engager sur une course à l'armement technologique, beaucoup de cyber-criminels misent ainsi sur les mauvaises pratiques des utilisateurs via ingénierie sociale plus ou moins sophistiquée. Ainsi, beaucoup de malwares nécessitent une interaction avec l'utilisateur (comme l'ouverture d'une pièce jointe à un mail). Les escroqueries par hameçonnage via mail ou réseaux sociaux sont nettement plus fréquentes que les malwares au sens strict, d'un facteur dix sur les réseaux sociaux. 40% des comptes Facebook et 20% des comptes Twitter se présentant comme d'une grande marque sont en fait contrôlés par des imposteurs.
40% des entreprises victimes d'applications mobiles dangereuses ont pu constaté que ces applications ont été téléchargées sur des appstores non-officiels. 12 000 applications dangereuses ont été détectées et elles ont été téléchargées l'an dernier plus de deux milliards de fois.

Une finalité de plus en plus financière

Selon le HPE Cyber Risk Report 2016, les malwares et autres attaques visent de plus en plus à extorquer des fonds aux entreprises. C'est notamment le cas avec les malwares de type ransomwares. Ces virus chiffrent des documents ou des espaces de stockage et en bloquent donc l'accès jusqu'au versement d'une rançon.
L'étude X-Force 2016 d'IBM va dans le même sens : les cybercriminels adoptent de plus en plus une approche entrepreneuriale avec des réseaux structurés de collaboration et de fourniture de services en mode CaaS (Crime As A Service). Le Dell Security Annual Threat Report dénonce d'ailleurs la croissance du nombre de kits prêts à l'emploi pour mener des cybercrimes. La sophistication de ces kits s'accroît de manière alarmante, rendant la détection de leur utilisation de plus en plus difficile. L'étude Mo(DDoS) operandi réalisée par Imperva / Incapsula relève de son côté que les attaques DDoS visent elles aussi souvent à exiger une rançon en échange de l'arrêt de l'attaque.
Selon IBM, les données de grande valeur (cartes de crédit, données de santé...) sont les cibles privilégiées des pirates. L'étude Uncovering the risks of SAP Cyber Breaches du Ponemon Institute réalisée sur la commande d'Onapsis relève que 56% des dirigeants ont une certaine inquiétude pour les données de leur PGI SAP. Dans les 24 derniers mois, SAP aurait ainsi été attaqué en moyenne deux fois. Mais, dans un système qui stocke et traite par nature des données très sensibles, 63% des dirigeants sous-estimeraient les risques encourus. Or une mise hors service d'un système SAP coûterait en moyenne de l'ordre de 4,5 millions de dollars par entreprise. Les trois quarts des répondants sont fatalistes et estiment qu'ils ne peuvent pas être certains de détecter une compromission, même un an plus tard. La responsabilité de cette sécurité de SAP est elle-même l'objet d'un grand flou : la moitié des répondants l'impute à l'éditeur qui n'a pourtant aucune responsabilité contractuelle en la matière. Certains se reposent sur l'infrastructure IT. De toutes façons, le coupable est désigné par avance : le DSI (26% des répondants) et le RSSI (18%).

Le 6 décembre 2016, CIO organise un Atelier Participatif sur le thème Cybermenaces : savoir les affronter, réagir avec pragmatisme et efficacité.

A propos des études citées

- L'étude HPE Cyber Risk Report 2016 a été réalisée par Hewlett Packard Enterprise. Elle compile diverses sources via une analyse secondaire documentaire.
- C-Suite est une étude récurrente réalisée par IBM. Securing the C-Suite, Cybersecurity Perspectives from the Boardroom and C-Suite en est une déclinaison basée sur une étude qualitative construite à partir d'entretiens avec des cadres dirigeants de 28 pays et 18 secteurs industriels.
- Egalement réalisé par IBM, X-Force 2016 est une analyse secondaire de diverses sources visant à définir les tendances en cybermenaces.
- L'étude réalisée par Redshift Research sur commande de Palo Alto Networks est basée sur une enquête menée en octobre 2015 auprès de 765 décideurs dans des entreprises d'au moins 1000 salariés implantées en France, au Royaume-Uni, en Allemagne, aux Pays-Bas ou en Belgique.
- L'étude Dell Security Annual Threat Report est construite à partir de données collectées par le réseau Global Response Intelligence Defense de Dell. Celles-ci sont multiples et contiennent notamment les logs de divers outils de sécurité tels que un million de capteurs de sécurité dans 200 pays, pare-feu, honeypots, anti-virus, le framework d'analyse de malwares Dell Sonic Wall, les données collectées par des chercheurs indépendants et l'anti-spam de Dell Sonic Wall.
- L'étude de Kaspersky Lab est issue de l'analyse des données collectées par ses produits.
- L'étude sur la cybersécurité des applications SAP Uncovering the risks of SAP Cyber Breaches a été réalisée par le Ponemon Institute sur la commande d'Onapsis, un éditeur de solutions de sécurisation de SAP.
- L'étude Human Factor 2016 a été réalisée par Proofpoint sans méthodologie publiée.
- L'étude Mo(DDoS) operandi a été réalisée par Imperva / Incapsula sans méthodologie publiée.
- L'étude Crumbling Cybersecurity a été réalisée par le cabinet Vanson Bourne sur la commande de Venafi. Elle est basée sur une enquête menée auprès de 500 DSI au total dans des grandes entreprises en France, en Allemagne, aux Etats-Unis et au Royaume-Uni.
- L'étude Etat des lieux de la sécurité sur Internet 2015-T4 a été réalisée par Akamai à partir des données sur les activités malveillantes observées sur l'Akamai Intelligent Platform au cours du 4ème trimestre 2015.
- L'étude Comment protéger le SI contre les nouvelles cybermenaces ? a été réalisée à partir d'une enquête menée en ligne par CIO à l'occasion de la Matinée Stratégique du 16 février 2016 Cybersécurité : les nouvelles menaces contre le système d'information.

Le 6 décembre 2016, CIO organise un atelier participatif sur le thème Cybermenaces : savoir les affronter, réagir avec pragmatisme et efficacité.