DBIR 2016 – Robinson Delaugerre, enquêteur forensique chez Verizon, souligne le nécessaire renforcement des investissements dans la cybersécurité face à la nouvelle économie du hacking et à la rapidité accrue des attaques.
Chaque année, l’opérateur télécoms Verizon consacre un rapport à la compromission de données informatiques, le Data Breach Investigations Report (DBIR). Edité par l’équipe Risk, qui regroupe plus de 200 personnes dans le monde, ce document a pour objectif de partager les informations sur l’environnement de menaces et les bonnes pratiques, ainsi que de participer à une ouverture des informations dans ce domaine.
Plus de 100.000 incidents de sécurité et 2260 compromissions de données ont été étudiés, grâce aux données fournies par près de 70 organisations (entreprises, forces de police, organisations gouvernementales…), dans 82 pays. Sa nouvelle édition met en exergue la rapidité des cyberattaques, ainsi qu’une évolution des comportements liés aux vols de données bancaires. Dans un entretien accordé à Business & Marchés, Robinson Delaugerre, enquêteur forensique chez Verizon, décrypte ces enjeux.
Quelles tendances récurrentes constatez-vous au fil des éditions du Data Breach Investigations Report?
Robinson Delaugerre – On se rend compte que l’écosystème des menaces change peu. Il y a une vraie relation proie-prédateur entre les attaquants et la défense, qui donne lieu à des comportements cycliques : lorsque la menace grandit, les systèmes de défense se mettent en place, et on repart sur de nouveaux types de menaces. En tant que « défense », la pression mise sur les attaquants n’est pas suffisante pour que leurs attaques ne soient plus effectives. Il faut aussi relever la confirmation du fait que l’attaque s’est professionnalisée, et que la défense traine un peu derrière.
Comment l’écosystème de la fraude évolue-t-il?
Dans le marché de la fraude, le prix de vente d’un dump complet de cartes bancaires a été divisé par cinq depuis trois ans. On peut supposer que c’est une simple loi du marché. Soit les vendeurs ont beaucoup trop d’acheteurs et font baisser les prix, soit ils s’adaptent à l’évolution de la menace. Les attaquants, pour rentrer dans leurs frais, deviennent de plus en plus audacieux. Sur les particuliers, l’impact est très intéressant : le fait d’avoir compromis une machine induit un objectif de monétisation. Jusqu’à présent, on volait des données bancaires ou d’authentification, ou bien on utilisait une machine compromise pour envoyer des spams, par exemple.
« La monétisation des données s’effectue chez leurs propriétaires »
Avec cette valeur en baisse des données bancaires, les autres données sont-elles monétisées?
On en est donc arrivés aux ransomware, qui consistent à monétiser les données chez leurs propriétaires. Dans le cadre de nos investigations, on voit des infections de ransomware dans les entreprises, avec des échelles plus importantes (au niveau du réseau). Il y a une dizaine d’années, le spam était rentable… Aujourd’hui, les fournisseurs d’accès à internet font en sorte que ce soit très difficile d’envoyer du spam à partir d’une machine compromise ou s’efforcent de bloquer les dénis de service.
Peut-on parler d’une véritable économie du hacking?
Evidemment. C’est une transition que l’on voit venir entre le hacking très « gentil » des années 1990 et le crime d’aujourd’hui. On a une professionnalisation des attaquants, qui est tout à fait le symptôme de la solidification de ces tendances : ils déroulent un script, travaillent quasiment en 3×8, sont spécialisés… On voit, dans certaines affaires, intervenir des savoir-faire dédiés : les différences de styles de code illustrent les interventions d’experts. Sur le post-incident, on est capable d’avoir plusieurs millions de dollars fraudés sur quelques dizaines de milliers de cartes, et inversement. Une fois le vol avéré, le talent et le professionnalisme de l’équipe de fraude vont davantage déterminer les sommes volées que la quantité de cartes. C’est une véritable économie. L’époque des Anonymous commence, elle aussi, à être derrière nous.
« La refonte du SI agit comme un frein aux investissements »
95% des infractions sont concentrées sur 9 types d’attaques seulement: pourquoi les entreprises n’y sont-t-elles pas davantage préparées?
Les entreprises sont souvent très mauvaises en gestion de risques. Elles ont encore du mal à se dire que la compromission va arriver : c’est pour les autres. Soit l’entreprise est trop petite – pourquoi en viendrait-t-on à l’attaquer -, soit elle est trop grosse, avec un système d’information construit de façon tentaculaire et difficile à maîtriser. La refonte complète potentiellement nécessaire du système d’information agit comme un frein. Malheureusement, cela pousse les entreprises à accepter les risques qui ne le devraient pas, et demander à un responsable de la sécurité des systèmes d’information, qui a déjà un budget et des moyens d’action limités, d’investir face à une menace floue. Cela conduit à des décisions de reports d’investissements sur de l’opérationnel. Mais l’investissement sécurité existe, et les vendeurs d’appliance ou de service ont tendance à dire que leur produit est incontournable et unique, or, aucun contrôle n’est parfait ! Il faut combiner plusieurs systèmes, et réduire le risque petit-à-petit.
En cas d’attaque, les entreprises ne sont donc pas aussi réactives qu’elles devraient l’être…
On parle, depuis l’an dernier, du déficit de détection : au cours de 75% à 80% des attaques, la compromission s’effectue en quelques minutes à quelques heures, et seulement 15 à 20% des attaques sont détectées dans le même laps de temps. On est dans la minute ou la course à la seconde. Pour la défense, il faut des jours ou des mois pour détecter l’attaque ! Pour la première fois, l’an dernier, la capacité de détection avançait plus vite que celle de compromission, mais nous avions prévenu que c’était un effet passager… Cette année, on se remet à constater que la réactivité de la défense n’augmente pas aussi vite que celle des attaques.
La variable « coût » peut-elle influer sur les investissements en matière de sécurité?
Il y a une nécessité de sensibiliser les utilisateurs, les décideurs et les entreprises, car finalement, aujourd’hui, la sécurité est perçue comme un coût, ce qui est complètement faux ! En faisant des audits sécurité, on considère les failles identifiées comme des surcoûts projet. Or, c’est de l’argent qui aurait dû être mis au départ (développement, formation…) Finalement, on peut aussi voir ce coût de la perte de données comme un coût différé du manque d’investissement. On travaille depuis deux ans avec un réassureur qui contribue au Data Breach Investigations Report à travers les demandes de réparation liées à des sinistres post-intrusion (impact technique, remédiation, impact d’image…) Il faut par ailleurs noter que chaque nouvelle unité de données impactée par la faille contribue un peu moins : il y a des économies d’échelle. Quand on met en place des métriques d’évaluation des risques, le risque financier n’est pas le plus important : le coût de la perte de clients ou celui lié aux infractions réglementaires… ont des coûts plus forts que le coût de la remédiation.
« Les nouveaux points d’entrée constituent des risques »
De quelle manière l’essor du multi-device augmente-t-il les risques?
Tout cet ensemble de choses qu’on peut appeler l’internet des objets (même s’il ne faut pas oublier les imprimantes, par exemple), les machines connectées, etc., par certains aspects, n’augmentent pas le risque dans le sens où celui-ci existe depuis très longtemps. D’un autre côté, le développement des téléphones, tablettes… devant interagir avec le système d’information (SI) de l’entreprise demandent la création de nouveaux points d’entrée et constituent, à ce titre, des risques. Le fait de gérer ses mails depuis une machine qui n’appartient pas à l’entreprise fait partie des risques que l’on doit traiter. Face à cela, des entreprises comme Google considèrent que le SI traditionnel n’existe plus : on va s’assurer de l’autorisation et de la confidentialité comme si tout était hostile ou venait de l’extérieur, par rapport à la protection périmétrique où tout ce qui est à l’intérieur de l’entreprise est correct. Par contre, les entreprises qui ne s’y sont pas adapté ont des problèmes. Toutefois, on n’a jamais vu un cas où un terminal mobile compromis était une cause d’intrusion, les attaquants n’en ayant pas besoin, la sécurité étant déjà faible dans les entreprises. Aujourd’hui, on a des maillons plus faibles que cela. Ceci dit, cela viendra.
2 commentaires