Ellica - Fotolia
Entre attaquants et défenseurs, l’asymétrie ne semble pas se réduire
Pour les premiers, s’introduire sur un système d’information est l’affaire de quelques heures tout au plus. Pour les seconds, détecter une intrusion peut prendre près de 200 jours. Le décalage reste considérable.
L’écart peut-il être plus grand ? D’un côté, les délais de détection des attaques continuent de se mesurer en dizaines jours. De l’autre, le temps nécessaire à l’infiltration ne serait que de quelques heures. Le défi apparaît titanesque et plaide clairement en faveur d’une automatisation accrue.
Selon la dernière édition de l’étude M-Trendsde FireEye, il fallait en moyenne compter 175 jours l’an dernier, dans la région Europe/Moyen-Orient/Afrique, pour qu’une attaque soit détectée, contre 101 jours au niveau mondial… et 106 jours en 2016 ! Selon l’équipementier, la situation s’est toutefois considérablement améliorée sur un an : le délai de détection des attaques en interne est passé de 83 à 24,5 jours. Mais lorsque c’est une notification externe qui est à l’origine de la découverte, ce délai dépasse les 300 jours. Et cela concerne donc 44 % des incidents.
Comme toujours, le rapport M-Trends ne s’appuie que sur les observations des analystes de FireEye réalisées lorsqu’ils ont été appelés à l’aide. La représentativité de l’échantillon est donc naturellement limitée. Et l’on peut imaginer aisément que la situation, sur le terrain, soit significativement plus mauvaise. Selon une récente enquête Bessé et PwC, 76 % des entreprises de taille intermédiaire (ETI) ont d’ailleurs été victimes d’au moins un incident de sécurité informatique en 2017.
Mais s’il le fallait encore, un autre rapport vient souligner l’asymétrie entre attaque et défense, celui de Nuix. Basé sur un sondage de plus d’une centaine de défenseurs et de pirates connus issus de 16 pays, celui-ci souligné la rapidité avec laquelle les attaquants peuvent s’infiltrer. Peut-être les résultats sont-ils teintés de vantardise, mais ils n’en donnent pas moins matière à réflexion.
Ainsi, 91 % des sondés indiquent qu’il faut moins de 5 h pour s’infiltrer. Puis moins de 5 h pour identifier des données critiques, selon 94 % des données. Et là moins de 5 h encore pour les exfiltrer, selon 98 % des sondés. Mais ils sont 40 % à assurer pouvoir le faire en moins d’une heure. Pour une compromission complète, il faudrait compter au maximum 15 heures pour 54 % des sondés. Les secteurs d’activité les mieux armés pour résister seraient les fournisseurs de services et de conseil, l’aéronautique, les infrastructure critiques, les forces de l’ordre, ou encore les télécommunications. L’hôtellerie et l’alimentation arrivent bons derniers du classement.
Sans surprise, l’ingénierie sociale apparaît en bonne place des méthodes utilisées – au moins souvent pour 50 % des sondés –, assortie de phishing pour 62 % des adeptes de la pratique.
Le plus impressionnant tient peut-être à la durée de vie des méthodes d’attaque : 41 % des sondés indiquent ainsi ne s’apercevoir que certaines de leurs méthodes sont dépassées ou faciles à détecter qu’une fois tous les six mois. Ils ne sont que 17 % à faire ce constat à chaque engagement.
Et s’il fallait retenir un indicateur de la posture de sécurité des entreprises, ce serait peut-être ce chiffre : 59 % des sondés assurent tomber rarement sur un environnement sur lequel ils échouent à s’introduire ; ils ne sont que 7 % à indiquer que c’est ce qui leur arrive dans la majorité des engagements. Quant à se dire impressionnés par les défenses qu’ils découvrant dans plus de la moitié de leurs engagements, ils ne sont que 5 %.
Que mettre en place, selon les sondés, pour leur rendre la vie moins facile ? Dans l’ordre décroissant d’efficacité : le durcissement des hôtes, des systèmes de détection/prévention d’intrusion, une sécurité des postes de travail robuste, des pièges tels que des pots de miel ou des systèmes de leurre.