Nmedia - Fotolia
Intrusions : détection et réaction semblent accélérer
Le rapport de Trustwave sur les brèches de sécurité sur lesquelles il est intervenu l’an passé laisse entrevoir une amélioration de la lutte contre les intrusions. Les moyennes peuvent cacher des extrêmes préoccupants.
Truswave vient de publier son rapport de synthèse sur les enquêtes que les équipes de ses SpiderLabs ont été amenées à conduire dans 17 pays l’an passé. Et celui-ci met en évidence une évolution positive : le délai s’écoulant entre la détection d’une intrusion et son confinement s’est considérablement réduit sur un an, passant de 111 jours en 2014 à seulement 63 en 2015. Le délai de détection s’est également raccourci, passant de 86 jours à 80,5 jours.
Mais ces moyennes cachent des extrêmes très éloignés les uns des autres. Ainsi, le délai de détection s’est étendu, selon les incidents, de 0 jour à… 2000 jours. Plus de cinq ans, comme le souligne Trustwave. Et dans certains cas, le délai de confinement, après détection, est resté particulièrement élevé : jusqu’à 274 jours « dans un cas exceptionnel ».
Ces variations s’expliquent en partie par la manière dont les intrusions sont détectées. En interne, les intrusions sont détectées en 15 jours en moyenne. Mais en moyenne, elles passent inaperçues durant 168 jours lorsqu’une source externe à l’organisation les signale, contre 126 jours en 2014. Et le confinement, après détection, survient en moyenne après 28 jours dans ce cas, contre 1 jour lorsque les équipes internes ont identifié l’incident.
Dans son rapport, Trustwave souligne que « les mêmes outils et techniques qui permettent aux entreprises de détecter les brèches seules leur permettent souvent de réagir rapidement et aisément ». Et l’on imagine sans peine que les organisations dotées de ces outils affichent un niveau de maturité plus élevé que celles qui découvrent les brèches les affectant avec l’aide de régulateurs, d’organismes bancaires, ou encore des forces de l’ordre. Ce qui se traduit mécaniquement par la présence de processus appropriés.
Et, justement, en Europe comme en Amérique du Nord, 67 % des entreprises pour lesquelles est intervenu Trustwave l’an passé ont découverts leurs brèches de sécurité grâce à des tiers. La bonne nouvelle est là qu’en moyenne à l’échelle de la planète, 41 % des intrusions ont été détectées en interne, contre seulement 19 % l’an passé.
Les principaux vecteurs de compromission observés sont les systèmes d’accès à distance (13 %), l’injection SQL (12 %), et le défaut de configuration (12 %). Le phishing et l’ingénierie sociale ne comptent que pour 8 % des cas, contre 7 % pour la menace interne et autant pour les mots de passe peu robustes.