PhotoGranary - stock.adobe.com

Baromètre annuel du Cesin : des progrès, mais des réponses qui interrogent

La nouvelle édition du baromètre annuel du Cesin fait ressortir une généralisation de la MFA et l’EDR qui… ne permet toutefois pas de faire reculer significativement la menace des ransomwares.

Le Club des experts de la sécurité de l’information et du numérique (Cesin) vient de rendre publics les résultats de la dernière édition du sondage réalisé par OpinionWay, réalisé auprès de ses adhérents.

Plus de 450 personnes ont participé à cette édition, dont 48 % de grandes entreprises et 40 % d’ETI. Dans le lot, 15 % relèvent des services publics.

Mauvaise nouvelle dans cette édition, 49 % des sondés disent avoir constaté au moins une cyberattaque au cours des 12 derniers mois, soit quatre points de plus que l’an dernier. C’est la fin d’une série de trois années de baisse consécutive.

La notion de cyberattaque est stable, mais mérite d’être rappelée : c’est « le fait de subir un acte malveillant envers un dispositif informatique, portant atteinte de manière significative à la confidentialité et/ou à l’intégrité de l’information de l’entreprise ou encore à la disponibilité du système d’information, entraînant des pertes financières significatives et/ou une atteinte à l’image de l’entreprise et/ou des efforts significatifs de défense pour contenir et traiter l’attaque ».

Surtout, « nous ne comptons pas là les tentatives d’attaques qui ont été arrêtées par [les] systèmes de prévention ». Dans la perspective de cette définition, une cyberattaque détectée et bloquée – à un stade si précoce que les efforts de traitement nécessaires sont soit très limités, soit inexistants – n’est pas comptée comme telle. 

À l’inverse, une cyberattaque est avérée si elle est décelée et nécessite « des efforts significatifs » pour être contenue et traitée, même s’il n’y a pas eu déploiement ni déclenchement de rançongiciel, notamment.

Place à interprétation

Aussi précise et équilibrée qu’elle puisse paraître, cette définition laisse une place assez importante à l’interprétation. Cela vaut également pour la manière dont certaines questions sont posées, ainsi que pour certaines réponses proposées. Et ce problème apparaît dès que l’on aborde le sujet des conséquences des cyberattaques constatées.

Ainsi, 18 % des répondants victimes d’au moins une cyberattaque l’an passé disent avoir été affectés par un chiffrement de données par ransomware. 31 % déplorent un vol de données, et 29 % une exposition de données. Mais ils ne sont que 9 % à déclarer avoir subi un « effacement ou une altération de données ».

Interrogé, le Cesin souligne qu’une « même attaque peut cumuler plusieurs catégories d’impact ». Mais dès lors, comment se fait-il qu’il y ait moins de répondants mentionnant un « effacement ou une altération de données » que ceux déplorant un « chiffrement de données par ransomware » ? 

De la même manière, seuls 9 % des répondants concernés déplorent une « extorsion »… alors que le ransomware relève de la tentative d’extorsion. Faut-il en déduire que ceux qui se sont dits victimes d’extorsion ont cédé au chantage et payé une rançon ? Cela expliquerait que les 20 répondants en question déplorent une « extorsion » et pas seulement une tentative d’extorsion… 

Interrogé, le Cesin évoque des points « qui devront être précisés dans le prochain baromètre », tout en concédant ne pas avoir « d’éclairage » plus précis à apporter. 

Autre souci : parmi les conséquences à déplorer, le Cesin propose « données exfiltrées via un ransomware », alors que si des données sont exfiltrées à l’occasion d’une cyberattaque impliquant un rançongiciel, ce n’est pas ce dernier qui est utilisé pour l’exfiltration. Ce qui n’a pas empêché 8 % des répondants victimes d’au moins une cyberattaque de sélectionner cette option. Accessoirement, lors de la précédente édition du baromètre, le Cesin parlait d’exfiltration de données « par ransomware »…

Des incohérences

Au total, nous avons donc 40,5 répondants disant avoir été victimes d’au moins une cyberattaque et d’un chiffrement de données par un ransomware. Mais quelques questions plus loin, ce sont 50 répondants qui disent avoir été frappés par une cyberattaque avec rançongiciel « avec chiffrement de tout ou partie de nos données ». 

Un chiffre auquel il faudrait ajouter 18 répondants reconnaissant une cyberattaque avec ransomware assortie d’un « vol de données et chantage à la divulgation ».

Selon le Cesin, il faudrait additionner les 40 répondants indiquant avoir été victimes de chiffrement de données par ransomware à celles (les 8 % de 225 répondants évoqués plus haut) ayant déploré une exfiltration de données « via ransomware ». Mais pour aboutir à 57 personnes. Et tant pis si cette addition n’a pas de sens, s’il considère (comme le Cesin explique qu’il le faut) qu’une « même attaque peut cumuler plusieurs catégories d’impact ».

Plus préoccupant, 43 % des sondés concernés par une cyberattaque évoquent, comme vecteur initial, l’exploitation d’une faille. Vulnérabilité non patchée ou défaut de configuration ? 34 % des sondés évoquent des « vulnérabilités résiduelles permanentes » et 33 % une « négligence ou erreur de manipulation ou de configuration ». Ces chiffres s’avèrent relativement stables sur deux ans. 

Des points positifs ? 95 % des sondés disent avoir déployé l’authentification à facteurs multiples (MFA), contre 81 % un an plus tôt. La détection et la réponse sur les hôtes (EDR) ? 95 %, en progression de 14 points sur un an, et de 31 points sur deux ans. Mais pour quels effets concrets ?

Le Cesin lui-même ne célèbre rien de plus qu’une « stabilisation » des attaques avec rançongiciel.

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)