Le DBIR du monde d’avant
Depuis 13 ans, la société Verizon publie un rapport sur les fuites de données, le Data Breach Investigations Report ou DBIR, réputé pour sa rigueur scientifique et sa richesse statistique. L’édition 2020 a été publiée le 19 mai dernier. Elle s’appuie sur 157 000 incidents : 32 000 incidents ont été analysés car jugés significatifs dont 3 950 ont eu comme conséquence une fuite de données avérée.
Quels sont les principaux enseignements à tirer de la lecture du DBIR 2020 ?
L’appât du gain reste la principale motivation dans la très grande majorité des compromissions. 86% des incidents analysés relèvent de cette catégorie, soit 15% de plus qu’en 2018. Moins de 10% des incidents sont liés au cyber espionnage. La couverture médiatique accordée à ce dernier semble donc proportionnellement inverse aux nombres d’incidents étudiés. Verizon constate même une baisse du nombre d’incidents liés à cette activité par rapport à l’année 2018.
En ce qui concerne les acteurs, 55% des incidents sont le fait de groupes cybercriminels. Les acteurs étatiques ou affiliés à des États représentent un peu moins de 10% des cas.
Un autre mythe tombe : dans 70% des cas, les incidents qui donnent lieu à une fuite de données sont le fait d’acteurs extérieurs à la victime. Les vols réalisés par des acteurs internes — les insiders — restent très minoritaires.
Les vols d’identifiants, l’ingénierie sociale et les erreurs humaines sont les trois piliers des fuites de données dans deux tiers des incidents analysés. Le nombre de fuites dues à des erreurs de configuration de services de stockage hébergés dans les infrastructures Cloud a doublé par rapport à l’an dernier. Cela explique peut-être la forte augmentation des fuites de données personnelles (58% des cas), ce malgré l’entrée en vigueur du RGPD.
Seul élément “rassurant” : l’exposition involontaire de données personnelles est très souvent rapportée par des chercheurs ou des sociétés de sécurité. Si cela n’exclut pas que certaines données ont pu être volées par des acteurs mal intentionnés avant leur détection et leur signalement, ces erreurs de configuration exposent les entreprises qui les commettent à une exposition médiatique nuisible à leur réputation.
L’utilisation de malware pour les compromissions initiales est en baisse. Le vol des identifiants, qui est la première cause d’intrusion, repose sur des attaques en force brute et l’utilisation d’identifiants volés (80%), sur le hameçonnage et l’ingénierie sociale, surtout dans les cas de fraude au président (Business Email Compromise). L’utilisation de mots de passe uniques, une politique de gestion des identifiants rigoureuse (complexité du mot de passe, imposition d’une date d’expiration) mais aussi l’utilisation à chaque fois que possible de moyens d’authentification à plusieurs facteurs sont les meilleurs moyens pour se protéger efficacement.
En ce qui concerne le hameçonnage, le mail reste le principal vecteur : 96% des attaques de phishing utilisent encore ce moyen. On note une très forte augmentation du nombre de campagnes de sensibilisation menées par les entreprises et une baisse conséquente du nombre de clics sur des liens de tests de la part des utilisateurs. La sensibilisation est donc une méthode particulièrement efficace — si ce n’est la seule méthode — pour lutter contre le phishing.
Dans 43% des cas, les fuites de données sont le résultat du piratage d’applications hébergées en dehors du système d’information des victimes. Ce pourcentage a doublé par rapport à 2018. Il reflète l’utilisation de plus en plus intensive de solutions nuagiques. Le travail à distance imposé pendant le confinement lié à la pandémie de Covid-19 devrait renforcer cet usage. Il faudra attendre le prochain DBIR pour savoir si cela s’est traduit par une hausse du nombre d’incidents.
Sans surprise, Verizon constate la prévalence des attaques par rançongiciels. Cette catégorie de malware n’était pas mise en avant lors des éditions précédentes car elle concernait plus la disponibilité des données que leur confidentialité. Mais l’adoption par les principaux “fournisseurs” de service de la pratique du vol de données et de publication de celles-ci en cas de refus de paiement, fait entrer les ransomware dans le périmètre des incidents pris en compte pour l’établissement du DBIR.
En plus de ces statistiques générales, le DBIR présente des chiffres par secteur d’activité. Les compromissions de points de vente électroniques (Point of Sale), qui étaient monnaie courante dans le secteur de la restauration et de l’hôtellerie, notamment en 2015, restent une des trois principales causes de fuites de données mais leur nombre et leur poids ont sensiblement baissé en 2019. Les attaques dans ce secteur sont motivées dans 99% des cas par l’appât du gain.
Les rançongiciels touchent de plus en plus de secteurs et représentent 23% des incidents dus à un malware dans l’industrie manufacturière, 61% des incidents dans le secteur public et 80% des incidents toutes catégories confondues dans le secteur de l’Éducation. Le secteur de la santé figure aussi parmi les secteurs les plus ciblés par les attaques par rançongiciels.
Il faudra, là encore, attendre la prochaine édition pour avoir une meilleure évaluation des impacts des ransomware dans ce secteur particulièrement exposé dans le cadre de la pandémie. 18% des sociétés étudiées tous secteurs confondus ont déclaré avoir bloqué au moins une attaque par rançongiciel en 2019.
D’une façon plus générale, le DBIR 2021 sera certainement particulièrement intéressant. Après la pandémie de Covid-19 (et sans préjuger de sa durée ni d’une nouvelle vague en fin d’année 2020) il donnera sûrement une vision statistique des effets du travail à distance sur la sécurité des données.
