Rapport de Verizon sur la fuite de données : les entreprises doivent renforcer leur sécurité

Cela peut sembler évident, à la lumière du nombre de très graves violations de données  répertoriées récemment, mais le rapport ne manque pas de dresser un tableau particulièrement édifiant sur la position actuelle des entreprises en matière de sécurité et aux défis auxquels elles sont confrontées.

De nombreuses entreprises restent vulnérables, principalement parce qu'elles n'ont jamais déployé de correctifs de sécurité d'information, indique l'étude, qui a analysé plus de 2 100 fuites de données confirmées et environ 80 000 incidents de sécurité signalés. Verizon est parmi les 70 entreprises mondiales qui ont mis leurs données à disposition pour analyse dans le cadre du rapport de cette année.

D'après le rapport, beaucoup d’incidents de sécurité pourraient être évités si les entreprises étaient plus vigilantes quant à leurs stratégies de protection.

« Nous continuons à voir des lacunes importantes dans la façon dont les entreprises se défendent. Bien qu'il n'y ait aucune garantie contre les violations, les entreprises pourraient largement gérer leurs risques en étant plus vigilantes sur la couverture de leurs bases. »
Mike Denning, Vice-Président de la Sécurité Globale, Verizon Enterprise Solutions.

Il est intéressant de noter dans le rapport que de nombreux pirates continuent de faire appel à des techniques qui existent depuis des décennies. Ainsi, une grande majorité des attaques (70%) implique une victime de « second niveau » (un site Web hacké pour héberger la page de phishing ou le malware).

Les chercheurs en sécurité de Verizon ont découvert que l'immense majorité (96%) des 80 000 incidents de sécurité qu'ils ont analysés pourrait être divisée en neuf schémas d'attaque de base qui varient selon le secteur.

Ces modèles d’attaque comprennent diverses erreurs, telles que :

• L'envoi d'un e-mail à une mauvaise personne,
• L’installation involontaire de crimewares (logiciels malveillants visant à prendre le contrôle des systèmes),
• L’attribution de droits d’administration à des mauvaises personnes,
• Le vol/la perte d’un appareil, en complément des attaques sur les applications Web,
• Les attaques par déni de service (DoS),
• Le cyberespionnage,
• Les intrusions sur les terminaux de paiement et les escroqueries aux cartes de paiement,
• Etc.

Le rapport indique que 83% des incidents de sécurité concernent un des trois premiers types de menace, contre 76% dans le rapport de 2014.

Plus les entreprises mettent de temps à se rendre compte d’une attaque, plus les pirates ont de temps pour pénétrer leurs défenses et causer des dommages. Plus d'un quart des attaques nécessitent des semaines, et parfois même des mois d'organisation avant d'être endiguées.

Le rapport Verizon couvre également le sujet délicat de la sécurité de l'Internet des objets (IoT, Internet of Things). Selon le rapport, de nombreux appareils tels que des smartphones ou autres objets connectés servent de point d’entrée dans le réseau de l’entreprise.

Les conclusions concernant l'IoT et les périphériques connectés démontrent une fois de plus que les entreprises doivent faire de la sécurité une priorité lors du déploiement de ces « dispositifs intelligents de nouvelle génération ».

Pour cette étude, les analystes en sécurité de Verizon ont utilisé un nouveau modèle d'évaluation pour mesurer l'impact financier d'une violation de sécurité type, basé sur l'analyse de près de 200 demandes d'assurance en cyber-responsabilité civile. Le modèle tient compte du fait que le coût par dossier volé est directement lié au type de données et au volume du contenu compromis, qui va de faible à très élevé pour le dédommagement d'un dossier perdu – comme par exemple un numéro de carte de crédit ou un dossier médical.

À titre d’exemple, le modèle prédit que le coût d'une violation impliquant 10 millions de dossiers atteindra entre 1,9 et 4,6 millions d’euros, dans 95% des cas. Et selon les circonstances, il peut aller jusqu'à 65,9 millions de dollars. Pour la violation de 100 millions de dossiers, le coût atteindra entre 4,5 et 14 millions de dollars, dans 95% des cas, et pourrait même coûter jusqu'à 177 millions de dollars en fonction du type de données compromises.

Les chercheurs en sécurité de chez Verizon font un certain nombre de recommandations pour les entreprises qui cherchent à renforcer leur sécurité :

• Etre globalement plus vigilants,
• Faire des employés leur première ligne de défense,
• Conserver uniquement les données essentielles,
• Installer les correctifs de sécurité le plus rapidement possible,
• Chiffrer les données sensibles,
• Utiliser l'authentification à double facteur,
• Et ne pas oublier la sécurité physique (l’accès aux serveurs par exemple).

De toute évidence, les nombreuses violations de données intervenues l’an dernier ont mis en lumière le besoin critique d’une meilleure sécurité. Selon le rapport, « ce fut une année où tellement d'entreprises de grande envergure se sont retrouvées face à la perspective presque inévitable d'une violation de leurs données, que tout ce qui est en lien avec le cyber a été placé en tête de liste lors des réunions ».

Cet article a été écrit par Robert Krauss.