freshidea - stock.adobe.com

Cybersécurité : des incidents de plus en plus difficiles à cacher

Plus de la moitié d’entre eux sont détectés par des tiers extérieurs à l’organisation affectée. Et dans la région EMEA, pour ces cas-là, cela se traduit par un temps de séjour moyen des assaillants avant détection de 301 jours.

FireEye vient de rendre publique l’édition 2020 de la synthèse des observations de ses équipes Mandiant, le M-Trends. Et il peut être tentant d’y lire une bonne nouvelle : en moyenne, les assaillants sont restés tapis dans le système d’information des organisations compromises durant 54 jours, avant d’être débusqués, dans la région EMEA. C’est une centaine de jours de moins qu’en 2018. Mais une telle moyenne cache d’importantes disparités.

Car dans la région seulement 44 % des victimes découvrent elles-mêmes leur condition peu enviable. Celles-ci sont les mieux loties : il leur faut 23 jours pour s’en apercevoir. Pour les autres, qui apprennent par le biais de tiers externes qu’elles ont été compromises, les assaillants ont eu rien moins que 301 jours pour se promener sereinement dans le système d’information. C’est certes 173 jours de moins qu’un an plus tôt. Mais cela n’en reste pas moins beaucoup de temps.

Qui plus est, la part des organisations qui découvrent elles-mêmes l’incident recule, à 44 % l’an dernier, contre 56 % un an plus tôt. Pour FireEye, cette évolution « reflète le volume de notifications que reçoivent les organisations », et surtout l’accroissement du nombre de sources externes « au-delà des traditionnelles notifications des autorités ». Et de relever que certains incidents ne trahissent pas des attaques actives, mais des opérations passées, dont tous les restes n’avaient pas été nettoyés.

Des délais de découverte toujours trop longs

Dans son rapport, FireEye souligne une forte réduction du délai moyen de séjour des assaillants avant leur découverte depuis 2011, à l’échelle de toutes les interventions de ses équipes Mandiant à travers le monde : de 416 jours à l’époque, à 56 jours en 2019. Mais pour Adrian Sanabria, co-fondateur et directeur de recherche chez Savage Security, il n’y a là pas grand-chose de rassurant. Pour lui, ce délai « reste un échec complet » : « que peut faire un attaquant en 56 jours ? Qu’y a-t-il qu’il ne puisse faire en 56 jours ? »

Pour lui, en parcourant un rapport tel que le M-Trends, il convient en fait de garder deux choses à l’esprit. Tout d’abord, « toute donnée figurant dans ce rapport vient, par définition, d’un échec ». Surtout, mesurer le temps de séjour d’un assaillant « est sans intérêt tant que l’on n’atteint pas la parité avec le temps qu’il faut à un attaquant pour réussir ». Et ce n’est qu’une affaire de jours comme le montre la vaste majorité des incidents médiatisés. Et cela concerne en particulier les attaques par rançongiciel : « dans le cas d’un ransomware, les dégâts peuvent être causés en l’espace de minutes ou d’heures ».

De fait, chez ISS, différents éléments laissent à penser que les assaillants ont eu au moins une dizaine de jours pour déployer Ryuk, comme chez Bouygues, même s’il s’agit d’un groupe distinct. A l’université de Maastricht, le groupe TA505 a eu plus de deux mois. Et peut-être justement, comme d’aucuns l’évoquent, la recrudescence des cas de ransomware entre la fin 2018 et 2019 contribue-t-elle à la réduction des délais de découverte des intrusions, car vient un moment où l’incident saute littéralement aux yeux de la victime.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)