Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cyberattaques en France : 3 mois avant de détecter une attaque, 3 semaines pour se remettre sur pied, des entreprises plus exposées du fait du télétravail

octobre 2020 par Wavestone

A l’occasion du lancement du mois européen de la cybersécurité et en amont des Assises de la Sécurité (du 14 au 16 octobre 2020), le cabinet Wavestone dévoile le nouveau millésime de son benchmark dédié aux incidents en matière de cybersécurité. Pour cela, le cabinet a passé en revue les interventions de son équipe de gestion de crise cybersécurité, le CERT-W, entre septembre 2019 et août 2020. Cela constitue une soixantaine d’incidents de sécurité majeurs, en hausse de 50% avec chaque mois en moyenne 1 crise et 4 incidents majeurs gérés. Ces situations ont mené à l’interruption d’activités métiers ou une compromission avancée de systèmes d’intervention et ce, dans des secteurs diversifiés : industrie, secteur public, agroalimentaire, technologies de l’information, finance, etc.

L’idée de ce benchmark est d’éclairer les organisations, et plus globalement la société, sur l’état de la menace cyber en France. L’enjeu étant de partager les clés pour une meilleure anticipation et gestion des risques, au travers de retours d’expérience concrets.

L’appât du gain financier toujours au cœur des motivations des attaquants

Pour 45% des attaquants, la motivation première reste les gains financiers. Ces attaques sont issues de ransomwares (virus bloquant les ordinateurs et demandant une rançon) pour la majorité des réponses des incidents analysés (25%), suivies des actions frauduleuses (18,5%) et mineurs de bitcoins (1,5%). Point marquant, l’apparition d’attaques combinant un ransomware et un vol de données (10%).

La deuxième motivation des attaquants est le vol de données, tant métiers que techniques. Cela représente 30% des attaques analysées. 4% des attaques visent à rendre indisponibles les services de l’entreprise via des dénis de service et 2% des compromissions visent à gagner en nouvelles capacités d’attaque : contournement des mécanismes de sécurité, attaques sur des partenaires de confiance, écoute illicite du réseau, etc. Il reste 18% d’incidents dont les motivations n’ont pas pu être identifiées, notamment lors d’attaques abandonnées ou interrompues.

Des capacités de détection hétérogènes mais plus rapides, contre des attaquants déclenchants plus vite leurs attaques : 94 jours est désormais le temps moyen écoulé entre une intrusion et sa détection !

En croisant ce constat avec les méthodes de détection, le constat est plus inquiétant encore : seulement 24% des incidents de sécurité sont identifiés par le service de détection cybersécurité de l’entreprise. Dans 31% des cas, ce sont des impacts directs qui ont alerté comme une interruption due à un ransomware ou une fraude particulièrement visible. Les utilisateurs (dont parfois les clients) représentent le dernier rempart et sont la source de 25% des détection.

Des attaquants de plus en plus déterminés, outillés et organisés (+9% des attaques)

58% des cyber-attaquants sont opportunistes (-7% vs 2019), ils ne relèvent pas d’un haut niveau de technicité ou ne visent pas une organisation en particulier. Ils cherchent et abusent des systèmes peu protégés et facilement attaquables. Ces attaques pourraient être évitées si les mesures de sécurité étaient situées au-dessus de la moyenne.

39% des attaques gérées ciblent spécifiquement une organisation (+9% vs 2019). Elles visent des informations sensibles et précises au sein de l’organisation. Les attaquants sont mandatés avec un objectif clair et mettent ainsi tous les moyens à disposition pour arriver à leurs fins.

Enfin, 3% des attaques sont considérées comme menaces diffuses (-2% vs 2019) : celles-ci correspondent aux habituelles infections virales ou encore au spam. Elles ne visent pas une organisation particulière et ont un effet limité sur le SI (de type déni de service, perte de données utilisateurs, etc.). Cela permet d’estimer au mieux le niveau de compétences techniques des attaquants.

Toujours les mêmes failles, les mêmes portes d’entrée pour s’introduire dans les systèmes

Dans une grande partie des cas (1 cas sur 4), l’attaquant s’est infiltré dans le système d’information par un email (phishing ciblé visant une entreprise spécifique ou un groupe d’utilisateurs particuliers).
Pour 1 cas sur 5, l’attaquant a exploité une application web vulnérable, ce qui met en relief un chiffre alarmant issu d’une précédente étude de Wavestone : 100% des applications web sont vulnérables… ce sont autant de portes d’entrées facilement accessibles.
Enfin, pour 1 cas sur 10, l’attaquant s’est infiltré dans le système d’information en exploitant un service d’accès distants vulnérables sur Internet (de nombreux services d’accès distants ont été déployés à la hâte pendant la crise sanitaire).

Des crises plus complexes à gérer, notamment pendant le confinement !

Sur l’aspect organisationnel, près de 50 personnes en moyenne ont été mobilisées sur les crises gérées par le CERT-Wavestone pour, en moyenne, 10 prestataires présents en renfort. Le maximum observé a été de 200 personnes mobilisées au total.

Le temps nécessaire pour revenir à une situation technique normale dépend de la taille de l’entreprise, de son niveau de maturité en matière de cyber-résilience mais également et fortement du type d’attaque auquel elle est confrontée. Sur cet échantillon, la moitié des crises clôturées en 3 semaines, avec un maximum à 7 semaines.

Enfin, les dispositifs de crise sont restés activés jusqu’à 2 fois plus longtemps durant le confinement, pour cause des facteurs suivant :

Réduction des effectifs présents sur site
Suivi RH des équipes mobilisées difficile : fatigue non visible, communication non verbale impossible à analyser, temps de travail non suivi.
Accès et partage d’informations disparates entraînant des complexités de coordination opérationnelle des membres d’une même équipe.
Moyens d’accès au SI fortement limités, réduisant les capacités d’investigation et de défense

Ces semaines de reconstruction ont, pour la plupart des cas, un impact fort sur l’activité de l’entreprise et ainsi sur son chiffre d’affaires.


*Méthodologie

Ce benchmark est issu de la consolidation des données de 60 réponses à incidents menés par le CERT-Wavestone entre Septembre 2019 et Août 2020 auprès de 50 organisations appartenant au Top 200 des entreprises françaises, issus de 10 secteurs d’activités différents : Banque, Assurance, Distribution, Industriel, Public, Santé, Service, Sport, Télécom, Transports. Les données de ce benchmark ont été rendues anonymes : la collecte est uniquement statistique.




Voir les articles précédents

    

Voir les articles suivants