Infiltrer un système d’information apparaît définitivement trop facile
Verizon Business vient de présenter de présenter l’édition 2013 de son rapport sur les failles de sécurité sur lesquelles il a été amené à intervenir pour ses clients.
Verizon Business vient de présenter de présenter l’édition 2013 de son rapport sur les failles de sécurité sur lesquelles il a été amené à intervenir pour ses clients. Un rapport ainsi ancré dans le concret et qui, cette année, a été enrichi d’informations remontées par des organismes tiers : la police fédérale australienne, le Cert de l’Institut d’ingénierie logicielle de l’université américaine Carnegie Mellon et le Cert-US, la police et le ministère de la Défense danois, la police néerlandaise, l’EC3 européen, la Garde Civile espagnole, le Cert irlandais, et même les services secrets américains, entre autres (l’Anssi française ne figure pas dans la liste). Au total, le rapport s’appuie sur 47 000 incidents de sécurité rapportés et 621 fuites de données confirmées.
Conclusions ? 37 % des failles ont concerné des institutions financières. 24 % sont survenues dans des lieux de commerce de détail et des restaurants. 20 % des intrusions sur des réseaux ont touché des entreprises des secteurs de l’industrie manufacturière, des transports et des utilités, et une proportion identique des entreprises d’information et de services professionnels. Surtout, le rapport permet de relativiser la menace interne : 92 % des fuites de données confirmées trouvent leur origine dans des personnes externes à l’organisation victime. Toutefois, « la menace interne domine pour l’ensemble des incidents de sécurité ». Et attention : 19 % des fuites de données confirmées ont été attribuées à des « acteurs liés à des Etats », en progression de plus de 10 % par rapport à 2011.
Quant à ceux qui s’inquiètent du manque de fiabilité des mots de passe des utilisateurs, voire de ces derniers, ils devraient trouver de quoi conforter leur opinion dans le rapport de Verizon Business : selon ses auteurs, 76 % des intrusions réseau ont exploité des codes d’accès peu robustes ou volés. Et 29 % des fuites de données confirmées se sont appuyées sur des techniques d'ingénierie sociale. La vraie mauvaise nouvelle ? 78 % « des intrusions initiales ont été classées comme peu difficiles ». De quoi questionner sérieusement l’efficacité des dispositifs et des politiques de sécurité.