Accueil
Envoyer
Imprimer
Partager
Cette seconde enquête annuelle se fonde sur l’analyse de 285 millions de dossiers liés à 90 infractions avérées connues de Verizon Business. Elle révèle une prédominance inédite du cybercrime en 2008 et du nombre d’attaques ciblant les acteurs du secteur financier, lesquelles représentent 93 % des cas dénoncés l’année dernière. 90 % de l’ensemble de ces infractions seraient l’œuvre de groupes connus pour leur participation dans des affaires de crime organisé.
A l’instar de la première enquête effectuée par les experts de Verizon sur 230 millions d’infractions rapportées entre 2004 et 2007, cette seconde investigation révèle que près de 9 plaintes sur 10 auraient pu être évitées si les principes élémentaires de sécurité avaient été respectés. De simples mesures préventives, à des coûts abordables, auraient en effet permis d’éviter la plupart des cas étudiés. Selon le rapport 2009, ce défaut de sécurité s’expliquerait davantage par des erreurs et des négligences que par une pénurie de ressources.
Sans grand changement par rapport aux années précédentes, seules 17 % des infractions sont des attaques ultra sophistiquées. Si ce type d’attaque reste rare, il est toutefois à l’origine de 95 % du nombre total des dossiers enfreints, ce qui donne à penser que les pirates déterminés savent précisément où frapper et quel type d’informations cibler.
« Le nombre de cas d’infraction de données sensibles a considérablement augmenté en 2008. Les entreprises doivent donc redoubler de vigilance », assure Peter Tippett, vice-président chargé des recherches et de la veille chez Verizon Business Security Solutions. « Ce second rapport devrait enfin faire prendre conscience aux chefs d’entreprise de la nécessité de prendre des mesures de sécurité efficaces et proactives, en particulier en temps de crise économique, favorable à l’augmentation de la criminalité. »
Principales constatations du rapport 2009
Les constatations de cette année confirment les conclusions de l’année passée et révèlent de nouvelles tendances. En voici quelques exemples :
- La plupart des infractions de données étudiées sont le fait de sources externes. 74 % des infractions résultent d’attaques extérieures et 32 % sont le fait de partenaires commerciaux. Seules 20 % proviennent de l’intérieur, contrairement aux idées reçues.
- La majorité des infractions résultent d’une combinaison d’événements et non d’une seule action. 64 % des infractions sont attribuées à des pirates qui combinent plusieurs méthodes. La combinaison la plus efficace consiste à exploiter les erreurs commises par la victime pour pénétrer le réseau afin d’installer un programme malveillant sur un système pour pouvoir collecter ses données.
- Dans 69 % des cas, l’infraction a été détectée par des tiers. Il est extrêmement difficile pour la plupart des entreprises de détecter les infractions de données au moment où elles sont perpétrées. Soit elles ne disposent pas des technologies adéquates, soit leurs processus sont inadaptés. Ces cinq dernières années, rares sont les entreprises qui sont parvenues à détecter les violations dont elles ont été victimes.
- La quasi-totalité des infractions répertoriées en 2008 l’ont été en ligne. Les entreprises craignent davantage pour les données de leurs postes de travail, périphériques mobiles, périphériques multimédia portables et autres systèmes similaires, or 99 % de l’ensemble des infractions cette année l’ont été à partir de serveurs et d’applications.
- Près de 20 % des dépôts de plaintes en 2008 portaient sur plusieurs infractions. Dans plusieurs cas, la même plainte déposée en 2008 concernait plusieurs entités ou sites victimes. La moitié des infractions étaient le fait d’incidents liés entre eux, souvent par les mêmes individus.
- Le respect de la norme PCI est d’une importance capitale. 81 % des organisations victimes, soumises à la norme PCI-DSS (Payment Card Industry Data Security Standard), se sont avérées non conformes au moment de l’infraction.
Etat des lieux du cybercrime en 2009
Le marché du cybercrime continue d’évoluer, tout comme ses cibles, méthodes et types d’attaquants. L’enjeu aujourd’hui est de dérober des codes d’identification personnels (PIN) et les numéros des comptes de crédit et de débit qui y sont associés. Verizon Business a d’ailleurs pu noter une explosion du nombre d’attaques des codes PIN en 2008.
Ces attaques s’avèrent bien plus dévastatrices pour les victimes que les contrefaçons de signature classiques, qui ne concernent que les cartes de crédit. L’utilisation frauduleuse de codes PIN permet en effet aux pirates de retirer du liquide directement du compte de la victime – qu’il s’agisse d’un compte chèque, d’un compte épargne ou d’un fonds de placement – compliquant ainsi la tâche des victimes qui doivent prouver la fraude.
Les sommes importantes que permettent de dérober les codes PIN encouragent les pirates à développer de nouvelles méthodologies d’attaque. Ils ont ainsi repensé leurs processus et créé de nouveaux outils, tels que des programmes malveillants de récupération de mémoire leur permettant d’exploiter les données stockées dans les systèmes informatiques.
Les activités de violation de données par des sources externes restent la spécialité de l’Europe de l’Est, de l’Asie orientale et de l’Amérique du Nord. 82 % de l’ensemble des attaques externes seraient en effet perpétrées depuis ces régions, selon le rapport 2009. M. Tippett ajoute que : « L’Europe de l’Est est connue pour héberger de nombreux criminels organisés, auxquels on doit une grande partie des cybercrimes commis en 2008. »
« Nous disposons à ce jour de suffisamment de preuves pour pouvoir affirmer que les activités frauduleuses perpétrées à partir de Europe de l’Est sont l’œuvre d’un véritable réseau criminel », affirme-t-il. « Heureusement, des lois ont été instaurées qui ont permis des arrestations dans 15 cas (et non des moindres) en 2008 », conclut-il.
Le secteur financier victime de la plus forte augmentation du nombre d’infractions Les cas de violation de données étudiés en 2008 ont affecté de nombreux types d’organisations, comme entre 2004 et 2007. Si le secteur de la vente au détail demeure la principale cible de ces attaques, à hauteur de 33 % des cas, le secteur des services financiers est celui qui a enregistré la plus forte hausse du nombre d’infractions, avec 30 % des cas cette année contre 15% les années précédentes. Pire encore, 9/10ème des quelque 285 millions de dossiers compromis concernaient des acteurs du secteur financier.
Cette évolution reflète la nouvelle tendance des activités cybercriminelles, dont l’objectif est à présent de voler des codes PIN pour les vendre sur le marché noir. « Les sociétés de services financiers ont été victimes d’attaques particulièrement déterminées, sophistiquées et malheureusement très fructueuses en 2008 », explique M. Tippett.
Le secteur alimentaire, second secteur le plus fréquemment touché lors du premier rapport, n’est plus qu’à la troisième place en 2008, avec 14 % du nombre total de dossiers compromis le concernant contre 20 % auparavant.
Le nombre d’enquêtes menées par les experts de Verizon Business en dehors des Etats-Unis a augmenté jusqu’à plus d’un tiers de l’ensemble des cas rapportés en 2008. Outre les cas ayant nécessité des investigations minutieuses aux Etats-Unis, de nombreux cas ont également été rapportés au Canada et en Europe tandis que les enquêtes étaient de plus en plus nombreuses, au Brésil, en Indonésie, aux Philippines, au Japon et en Australie. Si les pirates continuent de cibler les systèmes logiciels partout dans le monde, les économies émergentes auront fort à craindre, notamment pour leurs données clients.
M. Tippett précise : « Notre mission se complique chaque jour, où que nous allions, au gré de l’augmentation de volume des informations générées dans le monde. Si la majorité des attaques restent peu sophistiquées, les criminels s’adaptent progressivement à nos stratégies de protection et inventent de nouvelles méthodes pour obtenir les données qu’ils convoitent. »
Quelques recommandations pour les entreprises
Le rapport 2009 démontre, une fois de plus, que certaines mesures très simples, si elles sont appliquées convenablement et régulièrement, peuvent s’avérer très efficaces. Sur la base des résultats obtenus après l’enquête de près de 600 cas d’infractions impliquant plus d’un demi-milliard de dossiers compromis entre 2004 et 2008, les experts de la « RISK Team » de Verizon Business recommandent aux entreprises :
- De modifier systématiquement leurs codes d’accès par défaut. En 2008, davantage de criminels sont parvenus à leurs fins simplement en utilisant les codes d’accès par défaut des entreprises pour leur soustraire des données confidentielles. Il est donc crucial de modifier régulièrement les noms d’utilisateur et mots de passe et de veiller à ce que les fournisseurs en fassent de même.
- D’éviter de partager leurs codes d’accès. Outre la modification régulière des codes d’accès, il convient de s’assurer que chaque mot de passe est unique, à savoir qu’il ne sera pas partagé par les utilisateurs ou utilisé sur différents systèmes. Imaginez les conséquences quand les ressources sont gérées par un tiers.
- De vérifier leurs comptes utilisateur. Il est capital de vérifier ses comptes utilisateur régulièrement. Pour ce faire, il suffit de vérifier que les comptes activés sont valides, nécessaires, correctement configurés et associés à des droits d’accès adéquats.
- De tester leurs applications et d’en vérifier le code source. Les attaques par injection SQL, script intersite, contournement de l’authentification et exploitation de variables de session constituent près de la moitié des cas de piratage étudiés. Le test des applications Web s’impose plus que jamais.
- D’installer tous les correctifs nécessaires. Tous les programmes de piratage et autres programmes malveillants ayant exploité une faille pour dérober des données dataient de six mois ou plus. Autrement dit, ces cas de violation auraient pu être évités par la simple installation de correctifs.
- De veiller à ce que leur service de ressources humaines applique des procédures efficaces de résiliation de droits d’accès au départ de tout salarié. De nombreux pirates se servent des codes d’accès d’employés ayant récemment quitté une entreprise pour pénétrer le réseau. Pour éviter cela, les entreprises doivent s’assurer qu’il existe des procédures formelles et exhaustives de désactivation des comptes obsolètes et de suppression de toutes les permissions d’accès des anciens utilisateurs.
- De mettre en place des processus de surveillance des journaux d’applications. Si les attaques visaient autrefois la structure informatique, elles ciblent aujourd’hui de plus en plus la couche applicative. Les entreprises doivent donc se doter d’une politique standard de vérification des journaux couvrant le réseau, les systèmes d’exploitation et les pare-feu, ainsi que les services d’accès à distance, les applications Web, les bases de données et d’autres applications stratégiques.
- De définir ce qui est « suspect » et « anormal » (puis d’essayer d’en identifier la source). De plus en plus ciblées et sophistiquées, les attaques visent souvent les entreprises stockant d’importants volumes de données convoitées par la communauté criminelle. Ces entreprises doivent donc être capables de détecter toute attaque déterminée, sophistiquée et ciblée et de s’en protéger.
« Ce rapport montre clairement que le problème n’exige pas des mesures de protection complexes ou hors de portée. Il s’agit plutôt de la planification et de l’implémentation de mesures basiques et de la surveillance des données », conclut M. Tippett.
Pour consulter le rapport complet « 2009 Data Breach Investigations Report », rendez-vous sur :
www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf
A l’instar de la première enquête effectuée par les experts de Verizon sur 230 millions d’infractions rapportées entre 2004 et 2007, cette seconde investigation révèle que près de 9 plaintes sur 10 auraient pu être évitées si les principes élémentaires de sécurité avaient été respectés. De simples mesures préventives, à des coûts abordables, auraient en effet permis d’éviter la plupart des cas étudiés. Selon le rapport 2009, ce défaut de sécurité s’expliquerait davantage par des erreurs et des négligences que par une pénurie de ressources.
Sans grand changement par rapport aux années précédentes, seules 17 % des infractions sont des attaques ultra sophistiquées. Si ce type d’attaque reste rare, il est toutefois à l’origine de 95 % du nombre total des dossiers enfreints, ce qui donne à penser que les pirates déterminés savent précisément où frapper et quel type d’informations cibler.
« Le nombre de cas d’infraction de données sensibles a considérablement augmenté en 2008. Les entreprises doivent donc redoubler de vigilance », assure Peter Tippett, vice-président chargé des recherches et de la veille chez Verizon Business Security Solutions. « Ce second rapport devrait enfin faire prendre conscience aux chefs d’entreprise de la nécessité de prendre des mesures de sécurité efficaces et proactives, en particulier en temps de crise économique, favorable à l’augmentation de la criminalité. »
Principales constatations du rapport 2009
Les constatations de cette année confirment les conclusions de l’année passée et révèlent de nouvelles tendances. En voici quelques exemples :
- La plupart des infractions de données étudiées sont le fait de sources externes. 74 % des infractions résultent d’attaques extérieures et 32 % sont le fait de partenaires commerciaux. Seules 20 % proviennent de l’intérieur, contrairement aux idées reçues.
- La majorité des infractions résultent d’une combinaison d’événements et non d’une seule action. 64 % des infractions sont attribuées à des pirates qui combinent plusieurs méthodes. La combinaison la plus efficace consiste à exploiter les erreurs commises par la victime pour pénétrer le réseau afin d’installer un programme malveillant sur un système pour pouvoir collecter ses données.
- Dans 69 % des cas, l’infraction a été détectée par des tiers. Il est extrêmement difficile pour la plupart des entreprises de détecter les infractions de données au moment où elles sont perpétrées. Soit elles ne disposent pas des technologies adéquates, soit leurs processus sont inadaptés. Ces cinq dernières années, rares sont les entreprises qui sont parvenues à détecter les violations dont elles ont été victimes.
- La quasi-totalité des infractions répertoriées en 2008 l’ont été en ligne. Les entreprises craignent davantage pour les données de leurs postes de travail, périphériques mobiles, périphériques multimédia portables et autres systèmes similaires, or 99 % de l’ensemble des infractions cette année l’ont été à partir de serveurs et d’applications.
- Près de 20 % des dépôts de plaintes en 2008 portaient sur plusieurs infractions. Dans plusieurs cas, la même plainte déposée en 2008 concernait plusieurs entités ou sites victimes. La moitié des infractions étaient le fait d’incidents liés entre eux, souvent par les mêmes individus.
- Le respect de la norme PCI est d’une importance capitale. 81 % des organisations victimes, soumises à la norme PCI-DSS (Payment Card Industry Data Security Standard), se sont avérées non conformes au moment de l’infraction.
Etat des lieux du cybercrime en 2009
Le marché du cybercrime continue d’évoluer, tout comme ses cibles, méthodes et types d’attaquants. L’enjeu aujourd’hui est de dérober des codes d’identification personnels (PIN) et les numéros des comptes de crédit et de débit qui y sont associés. Verizon Business a d’ailleurs pu noter une explosion du nombre d’attaques des codes PIN en 2008.
Ces attaques s’avèrent bien plus dévastatrices pour les victimes que les contrefaçons de signature classiques, qui ne concernent que les cartes de crédit. L’utilisation frauduleuse de codes PIN permet en effet aux pirates de retirer du liquide directement du compte de la victime – qu’il s’agisse d’un compte chèque, d’un compte épargne ou d’un fonds de placement – compliquant ainsi la tâche des victimes qui doivent prouver la fraude.
Les sommes importantes que permettent de dérober les codes PIN encouragent les pirates à développer de nouvelles méthodologies d’attaque. Ils ont ainsi repensé leurs processus et créé de nouveaux outils, tels que des programmes malveillants de récupération de mémoire leur permettant d’exploiter les données stockées dans les systèmes informatiques.
Les activités de violation de données par des sources externes restent la spécialité de l’Europe de l’Est, de l’Asie orientale et de l’Amérique du Nord. 82 % de l’ensemble des attaques externes seraient en effet perpétrées depuis ces régions, selon le rapport 2009. M. Tippett ajoute que : « L’Europe de l’Est est connue pour héberger de nombreux criminels organisés, auxquels on doit une grande partie des cybercrimes commis en 2008. »
« Nous disposons à ce jour de suffisamment de preuves pour pouvoir affirmer que les activités frauduleuses perpétrées à partir de Europe de l’Est sont l’œuvre d’un véritable réseau criminel », affirme-t-il. « Heureusement, des lois ont été instaurées qui ont permis des arrestations dans 15 cas (et non des moindres) en 2008 », conclut-il.
Le secteur financier victime de la plus forte augmentation du nombre d’infractions Les cas de violation de données étudiés en 2008 ont affecté de nombreux types d’organisations, comme entre 2004 et 2007. Si le secteur de la vente au détail demeure la principale cible de ces attaques, à hauteur de 33 % des cas, le secteur des services financiers est celui qui a enregistré la plus forte hausse du nombre d’infractions, avec 30 % des cas cette année contre 15% les années précédentes. Pire encore, 9/10ème des quelque 285 millions de dossiers compromis concernaient des acteurs du secteur financier.
Cette évolution reflète la nouvelle tendance des activités cybercriminelles, dont l’objectif est à présent de voler des codes PIN pour les vendre sur le marché noir. « Les sociétés de services financiers ont été victimes d’attaques particulièrement déterminées, sophistiquées et malheureusement très fructueuses en 2008 », explique M. Tippett.
Le secteur alimentaire, second secteur le plus fréquemment touché lors du premier rapport, n’est plus qu’à la troisième place en 2008, avec 14 % du nombre total de dossiers compromis le concernant contre 20 % auparavant.
Le nombre d’enquêtes menées par les experts de Verizon Business en dehors des Etats-Unis a augmenté jusqu’à plus d’un tiers de l’ensemble des cas rapportés en 2008. Outre les cas ayant nécessité des investigations minutieuses aux Etats-Unis, de nombreux cas ont également été rapportés au Canada et en Europe tandis que les enquêtes étaient de plus en plus nombreuses, au Brésil, en Indonésie, aux Philippines, au Japon et en Australie. Si les pirates continuent de cibler les systèmes logiciels partout dans le monde, les économies émergentes auront fort à craindre, notamment pour leurs données clients.
M. Tippett précise : « Notre mission se complique chaque jour, où que nous allions, au gré de l’augmentation de volume des informations générées dans le monde. Si la majorité des attaques restent peu sophistiquées, les criminels s’adaptent progressivement à nos stratégies de protection et inventent de nouvelles méthodes pour obtenir les données qu’ils convoitent. »
Quelques recommandations pour les entreprises
Le rapport 2009 démontre, une fois de plus, que certaines mesures très simples, si elles sont appliquées convenablement et régulièrement, peuvent s’avérer très efficaces. Sur la base des résultats obtenus après l’enquête de près de 600 cas d’infractions impliquant plus d’un demi-milliard de dossiers compromis entre 2004 et 2008, les experts de la « RISK Team » de Verizon Business recommandent aux entreprises :
- De modifier systématiquement leurs codes d’accès par défaut. En 2008, davantage de criminels sont parvenus à leurs fins simplement en utilisant les codes d’accès par défaut des entreprises pour leur soustraire des données confidentielles. Il est donc crucial de modifier régulièrement les noms d’utilisateur et mots de passe et de veiller à ce que les fournisseurs en fassent de même.
- D’éviter de partager leurs codes d’accès. Outre la modification régulière des codes d’accès, il convient de s’assurer que chaque mot de passe est unique, à savoir qu’il ne sera pas partagé par les utilisateurs ou utilisé sur différents systèmes. Imaginez les conséquences quand les ressources sont gérées par un tiers.
- De vérifier leurs comptes utilisateur. Il est capital de vérifier ses comptes utilisateur régulièrement. Pour ce faire, il suffit de vérifier que les comptes activés sont valides, nécessaires, correctement configurés et associés à des droits d’accès adéquats.
- De tester leurs applications et d’en vérifier le code source. Les attaques par injection SQL, script intersite, contournement de l’authentification et exploitation de variables de session constituent près de la moitié des cas de piratage étudiés. Le test des applications Web s’impose plus que jamais.
- D’installer tous les correctifs nécessaires. Tous les programmes de piratage et autres programmes malveillants ayant exploité une faille pour dérober des données dataient de six mois ou plus. Autrement dit, ces cas de violation auraient pu être évités par la simple installation de correctifs.
- De veiller à ce que leur service de ressources humaines applique des procédures efficaces de résiliation de droits d’accès au départ de tout salarié. De nombreux pirates se servent des codes d’accès d’employés ayant récemment quitté une entreprise pour pénétrer le réseau. Pour éviter cela, les entreprises doivent s’assurer qu’il existe des procédures formelles et exhaustives de désactivation des comptes obsolètes et de suppression de toutes les permissions d’accès des anciens utilisateurs.
- De mettre en place des processus de surveillance des journaux d’applications. Si les attaques visaient autrefois la structure informatique, elles ciblent aujourd’hui de plus en plus la couche applicative. Les entreprises doivent donc se doter d’une politique standard de vérification des journaux couvrant le réseau, les systèmes d’exploitation et les pare-feu, ainsi que les services d’accès à distance, les applications Web, les bases de données et d’autres applications stratégiques.
- De définir ce qui est « suspect » et « anormal » (puis d’essayer d’en identifier la source). De plus en plus ciblées et sophistiquées, les attaques visent souvent les entreprises stockant d’importants volumes de données convoitées par la communauté criminelle. Ces entreprises doivent donc être capables de détecter toute attaque déterminée, sophistiquée et ciblée et de s’en protéger.
« Ce rapport montre clairement que le problème n’exige pas des mesures de protection complexes ou hors de portée. Il s’agit plutôt de la planification et de l’implémentation de mesures basiques et de la surveillance des données », conclut M. Tippett.
Pour consulter le rapport complet « 2009 Data Breach Investigations Report », rendez-vous sur :
www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf
