Sécurité : de la fuite dans les données

Rédaction

La publication du panorama du Clusif sur la cybercriminalité et plusieurs études sur les vulnérabilités, dont celles du Cesin et de l’Anssi, dressent un bilan toujours aussi sombre de l’état des menaces, en particulier pour les fuites de données. L’affluence record (12 000 personnes) au FIC (Forum International de la Cybersécurité) confirme la volonté de se protéger au mieux.

Le Clusif (Club de la sécurité de l’information français) a publié la nouvelle édition de son panorama de la cybercriminalité. Cette vingtième édition a été l’occasion de rappeler les grands événements qui ont marqué l’année 2019 et de mettre en exergue les tendances majeures auxquelles les entreprises doivent et devront faire face. « 2019 a été une année chargée en actualités », estime Jean-Marc Grémy, président du Clusif.

« Ce fut l’année de toutes les tromperies, même si ce n’est pas nouveau, le « brouillard de guerre », que l’on connaît depuis longtemps dans les conflits entre Etats, s’étend dans le cyberespace, avec une volonté de brouiller les pistes », assure Gérôme Billois, partner cybersécurité et confiance numérique chez Wavestone, qui rappelle que 58 % des e-mails sont des tentatives de phishing et qu’il existe plus de 65 000 fausses applications qui polluent les App Stores. « En 2019, le champ s’est élargi pour toucher des nouvelles plateformes, en particulier les assistants vocaux. » Un constat partagé par Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité à la direction centrale de la police judiciaire, pour qui « les menaces sont de plus en plus diffuses et touchent tous les secteurs économiques. »

A l’assaut des mots de passe

Franck Veysset, de Michelin, observe une « industrialisation de l’exploitation des fuites de mots de passe », avec trois techniques principales. D’abord la force brute verticale, lorsque le pirate cible un utilisateur et va tenter de trouver ses mots de passe, à l’aide d’un dictionnaire. Ensuite, la force brute horizontale, lorsque le pirate choisi un mot de passe (par exemple : 1234567 ou azerty) et va chercher à identifier quels utilisateurs l’ont choisi.

Enfin, le bourrage d’identifiants qui consiste, à partir d’un mot de passe compromis, à trouver pour quels autres comptes il est utilisé, en partant du principe que les utilisateurs dupliquent le même identifiant sur différentes plateformes (par exemple le mot de passe de la messagerie qui sera le même que celui de l’application bancaire en ligne). Et pour trouver les bons outils « le Black Market est toujours très bien organisé, avec des interfaces très ergonomiques », ajoute Franck Veysset.

Toujours des fuites de données massives

Pour Olivier Morel, DGA de l’éditeur Ilex International, spécialisé dans la gestion d’identités, « 2019 a été une nouvelle fois une année riche en fuites de données cloud », environ une cinquantaine de grands acteurs en ont été victimes, de Facebook et Toyota à GitHub et Capital One (106 millions de clients concernés), en passant par Burger King, Nintendo et Microsoft. Avec des pénalités financières très significatives : Equifax, victime en 2018, a payé 700 millions de dollars, les Hôtels Marriott 123 millions de dollars et British Airways 183 millions de livres. Les données volées se retrouvent évidemment dans le cloud : « Un mot de passe Gmail se négocie à 3 dollars, un numéro de carte de crédit 60 dollars, un permis de conduire américain entre 400 et 500 dollars et un accès à un site Web bancaire environ 100 dollars », rappelle Olivier Morel.

Les tiers, maillons de plus en plus faibles

L’un des risques les plus visibles concerne la chaîne de sous-traitance. Selon Accenture, 40 % des failles de sécurité proviennent en effet de la chaîne d’approvisionnement ou de l’écosystème de l’entreprise. Pour Gérôme Billois, « c’est un sujet nouveau, mais pas tant que cela, car on a déjà connu des exemples par le passé. » En 2011, Lockheed Martin a été victime d’une intrusion via le piratage de son système d’authentification, en 2013, des pirates ont eu accès à toutes les communications de certains clients de l’opérateur Belgacom, y compris celles chiffrées ; l’américain Target s’est fait dérober les données de paiement de 70 millions de ses clients, via une intrusion par le fournisseur de service de chauffage et climatisation.

En 2014, chez Orange, ce fut via une agence de marketing ; en 2018, le vol des données de paiement de 835 000 clients de Delta Airlines a été réussi grâce à une intrusion via le fournisseur du chatbot. En 2019, « on estime que 60 % des brèches de sécurité ont eu pour origine des tiers », rappelle Gérôme Billois. Parmi les victimes : Airbus, Yves Rocher, Rolls Royce, Amazon, Asus… L’un des modes opératoires consiste à s’appuyer sur un fournisseur pour cibler ses clients. On a ainsi vu des cibles primaires, telles que HPE, IBM, Fujitsu et CGI, servir de tremplins pour attaquer des groupes tels que Rio Tinto, Allianz, American Airlines, Philips, Ericsson et la Deutsche Bank.

« La première étape consiste donc à cibler un fournisseur et à s’y installer, avec une intrusion dans le SI du fournisseur via le credential stuffing ou des services Web exposés, puis à réussir une escalade de privilèges à l’aide d’outils légitimes tels que ProcDump ou Certmig », résume Gérôme Billois. Deuxième étape : choisir ses cibles et les exploiter légitimement, « grâce à un accès aux données sensibles, via des déplacements latéraux légitimes entre les systèmes, de sorte que les données volées sont transférées des systèmes du client aux systèmes du fournisseur », explique-t-il.

Il est possible de les détecter, par exemple en mesurant les volumes de données transférées ou ceux des stockages intermédiaires, en surveillant les types d’accès, les incohérences horaires ou les écarts entre un compte VPN et un compte Windows. Ces risques ont justifié que l’Anssi (Agence nationale pour la sécurité des systèmes d’information) publie un ensemble de recommandations sur les attaques via la Supply Chain et que les Etats-Unis se dotent d’une Task Force dédiée au « Supply Chain Cyber Risk ».

L’étude annuelle du Cesin (Club des Experts de la Sécurité de l’Information et du Numérique) et d’OpinionWay révèle que le phishing reste le vecteur d’attaque le plus fréquent, 79 % des entreprises en ont été victimes, l’arnaque au Président touche encore 47 % d’entre elles, suivie par l’exploitation des vulnérabilités (43 %) ou l’ingénierie sociale (35 %).

Ces attaques ont pour conséquences principales :

  • L’usurpation d’identité (35 %).
  • L’infection par un malware (34 %).
  • Le vol de données personnelles (26%).
  • L’infection par ransomware (25 %).

La confiance des RSSI stagne

Le Cesin définit une cyberattaque comme « le fait de subir un acte malveillant envers un dispositif informatique portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l’information de l’entreprise ou encore à la disponibilité du système d’information entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise. »

Bien que le taux d’entreprises déclarant des cyberattaques soit en baisse (65 % en 2019, contre 80 % en 2018), la confiance des RSSI quant à la capacité de leur entreprise à faire face aux cyber-risques n’a pas progressé en un an, seuls 52 % se disent confiants. Quatre entreprises sur dix s’estiment préparées en cas de cyberattaque de grande ampleur. En outre, près de la moitié des entreprises (43%) indique que le risque cyber le plus répandu est la négligence des salariés.

Le Shadow IT est massivement répandu, mentionné par 98% des répondants comme étant une menace à traiter. En effet, l’usage notoire des applications et services cloud le plus souvent gratuits, s’est banalisé et échappe toujours au contrôle de la DSI. Cela accroît significativement les risques, comme les fuites de données via les outils de transfert d’information ou de partage de fichiers volumineux.

D’autant que l’utilisation, même anecdotique, d’un service cloud non sécurisé peut suffire à compromettre l’intégrité et la sécurité des données de l’entreprise. La majorité des entreprises stockent leurs données dans le cloud : c’est le cas de 90 % des grandes entreprises, dont 55 % dans des clouds publics, 42 % dans des clouds hybrides et 38 % dans des clouds privés uniquement.

Mais plusieurs risques sont identifiés, liés à un manque de maîtrise en particulier de la chaîne de sous-traitance de l’hébergeur, à la difficulté de mener des audits et au comportement des utilisateurs.

Les salariés sont pourtant sensibilisés aux cyber-risques (74 %). Cependant, d’après les RSSI, ils sont seulement la moitié à respecter les recommandations. Pour tenter de mobiliser les salariés plus durablement, 77 % des entreprises ont mis en place des procédures pour tester l’application des recommandations par les salariés. La première édition du Baromètre Data Breach, publiée lors du FIC 2020 par PwC et Bessé, révèle que, dans un contexte où l’ampleur et la personnalisation des attaques est en nette progression et où la masse des données personnelles traitées, notamment sensibles, est croissante, au premier semestre 2019, les experts comptaient en moyenne 5,7 violations par jour (contre 4,5 en 2018), aux impacts transversaux : réputationnels, opérationnels, judiciaires et financiers.

Pour la période allant de juin 2018 à juin 2019, l’étude estime à 54 % le nombre des violations de données d’origine malveillante, « c’est pourquoi la chaîne de valeur de la cybersécurité doit également intégrer des consultants techniques, des avocats ou encore des assureurs », souligne l’étude. Les assurances cyber ont d’ailleurs un rôle important à jouer dans le processus de gestion des impacts.

Les impacts des cyberattaques dans les entreprises françaises

250 Sécurité 2
  • LinkedIn
  • Twitter
  • Facebook
  • Gmail

Les cyberattaques dans les entreprises françaises

250 sécurité 1
  • LinkedIn
  • Twitter
  • Facebook
  • Gmail

Intrusion via les fournisseurs : comment ça marche ?

250 Sécurité 3
  • LinkedIn
  • Twitter
  • Facebook
  • Gmail

Cybersécurité : les chiffres-clés

  • 50 %, c’est la probabilité de réussir à accéder à une organisation, via des comptes cloud (Proofpoint).
  • 63 % des utilisateurs affirment que la gestion des mots de passe est associée à des émotions négatives (Okta).
  • 210 dollars, c’est le coût moyen d’un enregistrement compromis dans le secteur financier, soit le coût le plus élevé de tous les secteurs, à l’exception de la santé (429 dollars) (BitGlass).
  • 47 % des utilisateurs disent qu’ils ne font pas la différence entre les mots de passe créés pour les comptes personnels et professionnels (LastPass).
  • 39 % des entreprises françaises se disent être suffisamment préparées en cas de cyberattaques de grande ampleur, mais elles se protègent mieux avec environ 12 solutions mises en place (Cesin – OpinionWay).
  • 40 % des failles de sécurité proviennent de la chaîne d’approvisionnement ou de l’écosystème de l’entreprise. En prenant en compte ce facteur, il s’avère que le nombre moyen de cyberattaques visant une organisation a augmenté de 25 % en 2019 (passant de 232 à 290) (Accenture).
  • 60 % des entreprises françaises ont souscrit une cyber­assurance (Cesin – OpinionWay).
  • 79 % des victimes de ransomware et 61 % des victimes de violation de données indiquent que ces attaques ont été le résultat d’une vulnérabilité et d’une mauvaise configuration du cloud (IDC France).