Cette seconde enquête annuelle se fonde sur l’analyse de 285 millions de dossiers liés à
90 infractions avérées connues de Verizon Business. Elle révèle une prédominance inédite du
cybercrime en 2008 et du nombre d’attaques ciblant les acteurs du secteur financier, lesquelles représentent 93 % des cas dénoncés l’année dernière. 90 % de l’ensemble de ces infractions
seraient l’oeuvre de groupes connus pour leur participation dans des affaires de crime organisé.

A l’instar de la première enquête effectuée par les experts de Verizon sur 230 millions
d’infractions rapportées entre 2004 et 2007, cette seconde investigation révèle que près de 9
plaintes sur 10 auraient pu être évitées si les principes élémentaires de sécurité avaient été
respectés. De simples mesures préventives, à des coûts abordables, auraient en effet permis
d’éviter la plupart des cas étudiés. Selon le rapport 2009, ce défaut de sécurité s’expliquerait
davantage par des erreurs et des négligences que par une pénurie de ressources.

Sans grand changement par rapport aux années précédentes, seules 17 % des infractions
sont des attaques ultra sophistiquées. Si ce type d’attaque reste rare, il est toutefois à l’origine de
95 % du nombre total des dossiers enfreints, ce qui donne à penser que les pirates déterminés
savent précisément où frapper et quel type d’informations cibler.

« Le nombre de cas d’infraction de données sensibles a considérablement augmenté en
2008. Les entreprises doivent donc redoubler de vigilance », assure Peter Tippett, vice-président
chargé des recherches et de la veille chez Verizon Business Security Solutions. « Ce second
rapport devrait enfin faire prendre conscience aux chefs d’entreprise de la nécessité de prendre
des mesures de sécurité efficaces et proactives, en particulier en temps de crise économique,
favorable à l’augmentation de la criminalité. »

Principales constatations du rapport 2009

Les constatations de cette année confirment les conclusions de l’année passée et révèlent
de nouvelles tendances. En voici quelques exemples :
• La plupart des infractions de données étudiées sont le fait de sources externes. 74
% des infractions résultent d’attaques extérieures et 32 % sont le fait de partenaires
commerciaux. Seules 20 % proviennent de l’intérieur, contrairement aux idées reçues.
• La majorité des infractions résultent d’une combinaison d’événements et non d’une
seule action. 64 % des infractions sont attribuées à des pirates qui combinent plusieurs
méthodes. La combinaison la plus efficace consiste à exploiter les erreurs commises par
la victime pour pénétrer le réseau afin d’installer un programme malveillant sur un
système pour pouvoir collecter ses données.
• Dans 69 % des cas, l’infraction a été détectée par des tiers. Il est extrêmement
difficile pour la plupart des entreprises de détecter les infractions de données au moment
où elles sont perpétrées. Soit elles ne disposent pas des technologies adéquates, soit leurs
processus sont inadaptés. Ces cinq dernières années, rares sont les entreprises qui sont
parvenues à détecter les violations dont elles ont été victimes.
• La quasi-totalité des infractions répertoriées en 2008 l’ont été en ligne. Les
entreprises craignent davantage pour les données de leurs postes de travail, périphériques
mobiles, périphériques multimédia portables et autres systèmes similaires, or 99 % de
l’ensemble des infractions cette année l’ont été à partir de serveurs et d’applications.
• Près de 20 % des dépôts de plaintes en 2008 portaient sur plusieurs infractions.

Dans plusieurs cas, la même plainte déposée en 2008 concernait plusieurs entités ou sites
victimes. La moitié des infractions étaient le fait d’incidents liés entre eux, souvent par
les mêmes individus.
• Le respect de la norme PCI est d’une importance capitale. 81 % des organisations
victimes, soumises à la norme PCI-DSS (Payment Card Industry Data Security
Standard), se sont avérées non conformes au moment de l’infraction.
Etat des lieux du cybercrime en 2009
Le marché du cybercrime continue d’évoluer, tout comme ses cibles, méthodes et types
d’attaquants. L’enjeu aujourd’hui est de dérober des codes d’identification personnels (PIN) et
Verizon News Release, page 4
les numéros des comptes de crédit et de débit qui y sont associés. Verizon Business a d’ailleurs
pu noter une explosion du nombre d’attaques des codes PIN en 2008.
Ces attaques s’avèrent bien plus dévastatrices pour les victimes que les contrefaçons de
signature classiques, qui ne concernent que les cartes de crédit. L’utilisation frauduleuse de
codes PIN permet en effet aux pirates de retirer du liquide directement du compte de la victime –
qu’il s’agisse d’un compte chèque, d’un compte épargne ou d’un fonds de placement –
compliquant ainsi la tâche des victimes qui doivent prouver la fraude.
Les sommes importantes que permettent de dérober les codes PIN encouragent les pirates
à développer de nouvelles méthodologies d’attaque. Ils ont ainsi repensé leurs processus et créé
de nouveaux outils, tels que des programmes malveillants de récupération de mémoire leur
permettant d’exploiter les données stockées dans les systèmes informatiques.

Les activités de violation de données par des sources externes restent la spécialité de
l’Europe de l’Est, de l’Asie orientale et de l’Amérique du Nord. 82 % de l’ensemble des attaques
externes seraient en effet perpétrées depuis ces régions, selon le rapport 2009.

M. Tippett ajoute que : « L’Europe de l’Est est connue pour héberger de nombreux
criminels organisés, auxquels on doit une grande partie des cybercrimes commis en 2008. »
« Nous disposons à ce jour de suffisamment de preuves pour pouvoir affirmer que les
activités frauduleuses perpétrées à partir de Europe de l’Est sont l’oeuvre d’un véritable réseau
criminel », affirme-t-il. « Heureusement, des lois ont été instaurées qui ont permis des
arrestations dans 15 cas (et non des moindres) en 2008 », conclut-il.

Le secteur financier victime de la plus forte augmentation du nombre d’infractions

Les cas de violation de données étudiés en 2008 ont affecté de nombreux types
d’organisations, comme entre 2004 et 2007. Si le secteur de la vente au détail demeure la
principale cible de ces attaques, à hauteur de 33 % des cas, le secteur des services financiers est celui qui a enregistré la plus forte hausse du nombre d’infractions, avec 30 % des cas cette année
contre 15% les années précédentes. Pire encore, 9/10ème des quelque 285 millions de dossiers
compromis concernaient des acteurs du secteur financier.

Cette évolution reflète la nouvelle tendance des activités cybercriminelles, dont l’objectif
est à présent de voler des codes PIN pour les vendre sur le marché noir. « Les sociétés de
services financiers ont été victimes d’attaques particulièrement déterminées, sophistiquées et
malheureusement très fructueuses en 2008 », explique M. Tippett.
Le secteur alimentaire, second secteur le plus fréquemment touché lors du premier
rapport, n’est plus qu’à la troisième place en 2008, avec 14 % du nombre total de dossiers
compromis le concernant contre 20 % auparavant.
Le nombre d’enquêtes menées par les experts de Verizon Business en dehors des Etats-
Unis a augmenté jusqu’à plus d’un tiers de l’ensemble des cas rapportés en 2008. Outre les cas
ayant nécessité des investigations minutieuses aux Etats-Unis, de nombreux cas ont également
été rapportés au Canada et en Europe tandis que les enquêtes étaient de plus en plus nombreuses,
au Brésil, en Indonésie, aux Philippines, au Japon et en Australie. Si les pirates continuent de
cibler les systèmes logiciels partout dans le monde, les économies émergentes auront fort à
craindre, notamment pour leurs données clients.
M. Tippett précise : « Notre mission se complique chaque jour, où que nous allions, au
gré de l’augmentation de volume des informations générées dans le monde. Si la majorité des
attaques restent peu sophistiquées, les criminels s’adaptent progressivement à nos stratégies de
protection et inventent de nouvelles méthodes pour obtenir les données qu’ils convoitent. »
Quelques recommandations pour les entreprises
Le rapport 2009 démontre, une fois de plus, que certaines mesures très
simples, si elles sont appliquées convenablement et régulièrement, peuvent s’avérer très efficaces. Sur la base des résultats obtenus après l’enquête de près de 1600 cas d’infractions impliquant plus d’un demi-milliard de dossiers compromis entre 2004 et 2008, les experts de la « RISK Team » de Verizon Business recommandent aux entreprises :
• De modifier systématiquement leurs codes d’accès par défaut. En 2008,
davantage de criminels sont parvenus à leurs fins simplement en utilisant les
codes d’accès par défaut des entreprises pour leur soustraire des données
confidentielles. Il est donc crucial de modifier régulièrement les noms
d’utilisateur et mots de passe et de veiller à ce que les fournisseurs en fassent
de même.
• D’éviter de partager leurs codes d’accès. Outre la modification régulière
des codes d’accès, il convient de s’assurer que chaque mot de passe est
unique, à savoir qu’il ne sera pas partagé par les utilisateurs ou utilisé sur
différents systèmes. Imaginez les conséquences quand les ressources sont
gérées par un tiers.
• De vérifier leurs comptes utilisateur. Il est capital de vérifier ses comptes
utilisateur régulièrement. Pour ce faire, il suffit de vérifier que les comptes
activés sont valides, nécessaires, correctement configurés et associés à des
droits d’accès adéquats.
• De tester leurs applications et d’en vérifier le code source. Les attaques par
injection SQL, script intersite, contournement de l’authentification et
exploitation de variables de session constituent près de la moitié des cas de
piratage étudiés. Le test des applications Web s’impose plus que jamais.
• D’installer tous les correctifs nécessaires. Tous les programmes de piratage
et autres programmes malveillants ayant exploité une faille pour dérober des
données dataient de six mois ou plus. Autrement dit, ces cas de violation
auraient pu être évités par la simple installation de correctifs.
• De veiller à ce que leur service de ressources humaines applique des
procédures efficaces de résiliation de droits d’accès au départ de tout
salarié. De nombreux pirates se servent des codes d’accès d’employés ayant
récemment quitté une entreprise pour pénétrer le réseau. Pour éviter cela, les entreprises doivent s’assurer qu’il existe des procédures formelles et
exhaustives de désactivation des comptes obsolètes et de suppression de toutes
les permissions d’accès des anciens utilisateurs.
• De mettre en place des processus de surveillance des journaux
d’applications. Si les attaques visaient autrefois la structure informatique,
elles ciblent aujourd’hui de plus en plus la couche applicative. Les entreprises
doivent donc se doter d’une politique standard de vérification des journaux
couvrant le réseau, les systèmes d’exploitation et les pare-feu, ainsi que les
services d’accès à distance, les applications Web, les bases de données et
d’autres applications stratégiques.
• De définir ce qui est « suspect » et « anormal » (puis d’essayer d’en
identifier la source). De plus en plus ciblées et sophistiquées, les attaques
visent souvent les entreprises stockant d’importants volumes de données
convoitées par la communauté criminelle. Ces entreprises doivent donc être
capables de détecter toute attaque déterminée, sophistiquée et ciblée et de s’en
protéger.

« Ce rapport montre clairement que le problème n’exige pas des mesures de protection
complexes ou hors de portée. Il s’agit plutôt de la planification et de l’implémentation de
mesures basiques et de la surveillance des données », conclut M. Tippett.

Pour consulter le rapport complet « 2009 Data Breach Investigations Report », rendezvous
sur : http://www.verizonbusiness.com/resources/security/reports/2009_databreach_rp.pdf.