Le GTIR analyse une énorme masse de données issues de 24 centres d’opérations de sécurité (SOC), sept centres R&D, 3 500 milliards de logs et 6,2 milliards d’attaques. Il en ressort que, au cours des trois dernières années, en moyenne 77 % des entreprises se qualifient de « pas préparées ». Seules 23 % des organisations sont donc en mesure de se défendre efficacement contre des incidents de sécurité majeurs.

« Nos rapports GTIR et Risk:Value témoignent tous deux d’une certaine inertie des entreprises concernant la prévention et la planification des incidents », souligne Garry Sidaway, VP Security Strategy & Alliances chez NTT Com Security. « Ce phénomène très préoccupant trouve sa cause dans de multiples éléments. À commencer par le sentiment de lassitude dans des équipes de sécurité exténuées par une succession de violations majeures, le trop-plein d’informations et les conseils contradictoires. Sans parler de l’extrême rapidité des évolutions technologiques, de la timidité des investissements et du poids croissant des réglementations. »

« Face à l’émergence constante de nouvelles menaces et à la pénurie de compétences en sécurité informatique, les entreprises sont dépourvues des ressources humaines et budgétaires nécessaires. Chez NTT, nous pensons qu’il vaut mieux prévenir que guérir. Nous croyons aussi dans la valeur des fondamentaux, à commencer par l’élaboration et la communication d’un plan d’intervention détaillé. »

Après des années passées en tête des secteurs les plus touchés dans les précédents rapports GTIR, la finance cède sa place à la grande distribution qui enregistre 22 % des interventions sur incidents (contre 12 % l’année passée) de NTT Com Security. Parce qu’elles brassent d’importants volumes de données personnelles, dont des informations bancaires, les organisations de ce secteur constituent une cible particulièrement attractive, et ce au point d’enregistrer le plus fort taux d’attaques par client.

Autres statistiques du GTIR 2016 extraites de nos interventions sur incidents

· Les violations de sécurité ont représenté 28 % des interventions en 2015, contre 16 % en 2014. Un grand nombre d’incidents concernaient des vols de données et de propriété intellectuelle.

· Les menaces internes ont connu une véritable envolée, passant de seulement 2 % en 2014 à 19 % en 2015. Elles résultent le plus souvent d’une utilisation abusive des données et ressources informatiques par des salariés ou prestataires externes.

· En 2015, 17 % de nos interventions se sont produites sur des attaques par spear-phishing (+ 2 % par rapport à 2014). Basées sur des tactiques sophistiquées d’ingénierie sociale, comme l’utilisation de fausses factures, ces attaques visaient principalement des dirigeants et autres personnels de la fonction comptabilité-finance.

· Malgré l’émergence de collectifs DDoS comme DD4BC ou Armada Collective, le GTIR 2016 a enregistré un recul des attaques DDoS par rapport aux deux années précédentes. Cette baisse est probablement due aux investissements réalisés dans les outils et services de défense contre ce type d’agression.

Conseils en matière d’interventions sur incidents :

1. Préparer des processus de gestion des incidents et des run books. Trop souvent, les entreprises manquent de directives précises sur la manière de déclarer et de classifier un incident. Ces pratiques constituent pourtant le socle de toute réponse efficace. Plusieurs paramètres, comme la nature de l’attaque ou son potentiel impact, ont une influence déterminante sur le type de réponse à fournir. La mise en place de « run books »figure également parmi ces bonnes pratiques destinées à détailler des procédures types sur les incidents les plus communs au sein d’un environnement donné.

2. Évaluer l’efficacité des interventions. Pour être efficaces en cas d’incident, les équipes doivent absolument avoir une parfaite maîtrise des procédures standards d’intervention. C’est pourquoi la préparation devra passer par des mises en situation régulières. Les bilans post-incidents sont également un excellent moyen de peser le bon et le moins bon pour définir des axes d’amélioration.

3. Mettre à jour la liste des intervenants. Les entreprises évoluent, tout comme leur organigramme. D’où l’importance de tenir à jour la liste des acteurs concernés et de leurs missions en cas d’incident. Chaque seconde compte et tout retard dans l’organisation des équipes peut sérieusement entraver l’intervention. La mise à jour des coordonnées de votre FAI ou de votre prestataire externe d’intervention sur incident est tout aussi importante.

4. Rédiger une documentation technique. Pour pouvoir identifier les systèmes touchés et prendre les bonnes décisions, il est nécessaire de disposer d’informations complètes et détaillées sur le réseau.