HP dévoile les impacts des cyberattaques

Un chiffre qui laisse pour le moins songeur et perplexe, il y a urgence ! Les entreprises ne devraient-elles pas réorienter leur stratégie Sécurité ? Philippe Jouvellier, Expert sécurité chez HPE commente les résultats.

Quelques tendances…

Dans le cadre de la sixième étude annuelle ‘Cost of Cyber Crime Study 2015’ menée par Ponemon Institute sous l’égide de HP Enterprise Security, les résultats sont sans appel et détaillent de façon précise les impacts économiques des cyberattaques sur toutes les entreprises, qu’il s’agisse du secteur privé ou public. Cette étude, réalisée à l’échelle de plusieurs pays (Etats-Unis, Royaume Uni, Japon, Allemagne, Australie, Brésil, fédération de Russie), révèle une progression des résultats.

On note d’emblée une croissance de 20% par rapport aux chiffres 2014 en termes de coûts de cybercriminalité et une augmentation de 82% par rapport à la première étude. « Le coût mis en évidence ne s’applique pas évidemment pour chaque entreprise ayant vécu des désagréments en matière de sécurité informatique » précise Philippe Jouvellier. Mais, 80% des attaques ont été vécues à travers une plate-forme applicative ou application maison. Et 40 % des postes liés à la sécurité restent vacants… Le turnover de ces fonctions sécurité expliquerait la difficulté des entreprises

de trouver et garder des experts sécurité. Mais, pas seulement, en effet, si la politique de sécurité est souvent affirmée, certaines entreprises ne mettent toujours pas les moyens pour la concrétiser, ni les centres de supervision nécessaires. S’il fallait retenir trois éléments. Le coût de la cybercriminalité reste très important. Ce coût varie en fonction de la taille de l’organisation ciblée, « on observe une nette corrélation entre le nombre d’employés de l’entreprise et le coût annuel du cybercrime, la menace interne va très souvent avoir une part importante dans les scores d’attaques détectées

». Les menaces internes prennent de plus en plus d’ampleur, liées aux utilisateurs malveillants, ou aux utilisateurs légitimes servant de relais pour la propagation. Le temps pour remédier aux attaques continue de croître, le délai moyen de résolution d’une cyberattaque, c’est-à-dire le temps d’arrêt des moyens mis en oeuvre pour porter préjudice à une entreprise et le début éventuel de remise en état du SI, s’élève à 46 jours, soit une augmentation de 30% sur les six dernières

années. « Les attaques sont non seulement plus complexes mais elles se propagent assez loin dans le périmètre d’un système d’information » justifie l’expert sécurité.

… aux faits marquants

Fait intéressant, les entreprises sont, certes de plus en plus exposées à des attaques extrêmement complexes, et sur différentes surfaces d’exposition. Les vecteurs de propagation d’attaques sont très souvent liés aux applications, « les attaques sont menées à travers les applications, soit par la naïveté des utilisateurs, soit par des failles de sécurité dans les applications, toutes accessibles depuis Internet ». « En matière de sécurité, les ? des budgets informatiques sont encore dépensés sur la protection d’un périmètre de sécurité », les entreprises veulent mettre les moyens pour se protéger autour d’une zone logique et géographique, mais la protection des applications (code applicatif) ne semble pas répandue dans les organisations. La mobilité contribue aussi à propager une part importante des attaques, soit avec les équipements mis à disposition des utilisateurs nomades, soit avec les équipements personnels apportés par les collaborateurs au sein du périmètre informatique.

Le filtrage des pièces jointes et la surveillance des connexions faites à l’extérieur de l’entreprise restent des questions cruciales, tout comme l’écriture du code pour les applications mobiles.

Forte inquiétude des entreprises sur les incidents de sécurité liés aux plates-formes d’hébergement ou de fourniture de services, « les dimensions SaaS et IaaS doivent être prises en compte ».

Quelle stratégie de sécurité ?

Si les consultants HP aident les clients à générer et cadrer une expression de besoins à partir de laquelle une politique de sécurité peut se décliner « ce qui fera la différence, ce sont sans aucun doute les moyens mis en oeuvre par l’entreprise ». Alors, comment détecter les attaques en temps réel ? La supervision de l’activité et de la sécurité reste essentielle, notamment sur la base des cas d’usage, règles de surveillance, de détection, de réaction basées sur des risques déjà clairement

exprimés, « derrière la mise en place des procédures, il faut établir la cartographie des risques, leurs catégories, leurs priorités, leurs impacts, lister les scénarios catastrophes pour mettre en place ces cas d’usage ». Ainsi, quand un événement se produit et correspond à une règle, une alerte est immédiatement levée. D’où l’importance des outils SIEM (Security  Information and Event Management) se basant sur la capture et le traitement des journaux d’activité d’un SI, et embarquant de « l’intelligence » grâce aux listes de réputation, indicateurs sur les tendances données par des sources d’informations externes pour fournir plus de visibilité.

Les politiques de sécurité doivent de fait, impliquer les comités de direction, « loin d’un langage technique, il faut leur expliquer ces notions de pertes de services, d’argent, d’activité », car les attaques très professionnelles, sont menées par des experts qui profilent les différentes cibles, « très souvent, les attaques se mènent sur des semaines avant de voler de l’argent ou des identités numériques ». Face à cela, les entreprises désarmées, ne disposent que de moyens de détection statiques, passifs, loin de voir les attaques menées étape par étape.