Sécurité : la maturité tarde à venir
L’édition 2015 du rapport Mandiant/FireEye sur les attaques informatiques avancées laisse entrevoir quelques progrès, plutôt maigres, mais surtout un niveau de maturité qui reste faible.
FireEye vient de rendre publique l’édition 2015 du rapport M-Trends de sa filiale Mandiant, basé sur les cas d’attaques informatiques avancées sur lesquels elle a été amenée à intervenir.
Et ce rapport commence par ce qui ressemble à une bonne nouvelle : en moyenne, les attaques avancées sont restées indétectées durant 205 jours l’an passé, contre 229 jours en 2013 et 243 jours en 2012. Mais ce n’est qu’une moyenne. Et FireEye relève « un cas extrême » : celui d’une organisations pour laquelle est intervenu Mandiant l’an passé et qui a reconnu avoir été victime d’une intrusion restée indétectée durant rien moins que huit ans.
Une approche largement réactive
Et à écouter Yogi Chandiramani, responsable technique EMEA de FireEye, ce n’est pas vraiement surprenant : « dans le monde, 31 % des clients des services de Mandiant y ont fait appel après avoir découvert une compromission ». Mais les autres ? Ils doivent leur salut numérique à un tiers, partenaire, client ou fournisseur, qui leur a signalé un incident suspect. Quelle place concrète cela laisse-t-il alors à cette approche proactive si largement promue par les experts de la sécurité informatique ? « Ceux qui viennent nous voir proactivement », par exemple, par conscience des limites de leurs solutions technologiques ou de leurs processus, « sont très rares ». La traduction d’un niveau de maturité que Yogi Chandiramani reconnaît comme encore très bas.
Un effet conjoncturel ?
La médiatisation croissante des incidents de sécurité produit-elle toutefois des effets ? Le responsable technique EMEA de FireEye souligne que le secteur de la vente de biens de consommation et de détail a pesé pour 14 % des sollicitations de Mandiant en 2014, contre 4 % en 2013. On ne qu’être tenté de voir là une conséquence d’une prise de conscience stimulée par la médiatisation des affaires Target et Home Depot, entre autres. D’autant qu’il a rapidement été rendu public que les outils de FireEye avaient détecté l’intrusion dont Target a été victime, les processus de l’enseigne s’étant alors avérés défaillants.
En France également, le commerce de détail a représenté une part importante des sollicitations de FireEye – 25 %, avec une activité largement concentrée sur ce segment en fin d’année, relève Yogi Chandiramani. Mais c’est une spécificité bien française, qui ne trouve pas de résonance à l’échelle européenne. Reste que le phénomène semble avoir une ampleur significative : 30 % des activités cybercriminelles seraient ainsi concentrées sur le mois de décembre, contre 70 % étalées sur tout le reste de l’année.
Le hameçonnage comme point d’entrée
FireEye est d’ailleurs tenté d’établir un « creux d’activité malicieuse durant les mois d’été ». Las, comme le reconnaît Yogu Chandiramani, « nos chiffres se basent sur des tentatives [d’attaque] qui ont abouti ». Et le phishing ciblé semble continuer d’avoir largement les faveurs des attaquants.
D’ailleurs, selon le rapport M-Trends, « l’usurpation de l’identité des responsables informatiques par les attaquants est une tactique de plus en plus courante ». Ainsi, dans 78 % des cas de hameçonnage ciblé observés par FireEye, les courriels semblaient provenir de la DSI interne.
Difficile, dans ce contexte, de savoir si les cybercriminels prennent des vacances : peut-être souffrent-ils, comme une bonne part des activités hexagonales, de la trêve estivale. Ce qui expliquerait que FireEye observe une nette reprise en septembre, avant un autre creux sur octobre et novembre.
Enfin, selon Jogi Chandiramani, les SSII arrivent en troisième position des cibles des attaquants, en France, en 2014, derrière le secteur public. Le signe d’opérations telles que celle dont avait été victime RSA et qui visent la chaîne logistique de la cible finale ?
Peut-être, même si FireEye ne s’avance pas. Et de reconnaître que ses chiffres sont, de toute façon, appelés à évoluer aussi avec le périmètre de ses activités commerciales.