santiago silver - Fotolia
Cybersécurité : bonne nouvelle, les attaquants se font prendre plus rapidement
Du moins chez les clients de FireEye/Mandiant. Le délai médian de séjour dans une infrastructure compromise avant détection est ainsi tombé à 55 jours l’an dernier, contre près du double un an plus tôt.
Cela ressemble à une bonne nouvelle. Selon la nouvelle édition du rapport de FireEye sur les enquêtes conduites par ses équipes de Mandiant, les attaquants se font débusquer de plus en plus vite. Le délai médian durant lequel ils peuvent sereinement se promener dans un système d’information est ainsi tombé à 55 jours l’an passé, contre 101 en 2017.
Ce délai atteint même 38 jours lorsque l’intrusion est découverte par l’organisation victime, contre 57,5 jours un an plus tôt. La situation apparaît également s’améliorer lorsque la découverte est faite par un tiers : le délai s’établit là à 125 jours ; c’est beaucoup plus, mais toujours mieux que 186 jours en 2017.
Mais le tableau est loin d’être aussi flatteur pour les clients de FireEye/Mandiant dans la région EMEA : les délais restent quasiment inchangés entre 2017 et 2018, voire même progressent légèrement. Surtout, les organisations de la région apparaissent encore très mal dotées en capacités de détection : un attaquant peut toujours y rester tapi près d’un an dans le système d’information avant de se faire débusquer, lorsqu’un tiers est à l’origine de la découverte. Lorsque c’est l’organisation victime qui découvre elle-même l’intrusion, l’attaquant n’a que 25 jours de tranquillité.
Heureusement, ces attaques peuvent avoir valeur d’enseignement. Dans la région, 56 % des détections sont faites par les victimes elles-mêmes. Surtout, 57 % des organisations visées une fois… le sont à nouveau.
Ces chiffres méritent d’être mis en perspective avec ceux récemment publiés par CrowdStrike. Selon ceux-ci, il faut en moyenne 4 heures et 37 minutes pour qu’un attaquant se déplace latéralement dans un système d’information après y avoir pris pied. De quoi donner le vertige, peut-être, mais aussi de quoi imaginer tout ce qu’un attaquant peut avoir le temps de faire en plusieurs dizaines de jours…
Surtout, le rapport de FireEye rappelle l’importance de la protection contre le hameçonnage. Le phishing apparaît ainsi clé dans les techniques de compromission initiale de nombreux acteurs. Le groupe souligne au passage à quel point certaines périodes, dans la vie des entreprises, peuvent être plus critiques que d’autres, notamment celles de fusion et acquisition.