Les conclusions de nos chercheurs, membres de l’équipe RISK (Research Intelligence Solutions Knowledge), se fondent sur les données de milliers de cas étudiés ces 8 dernières années. Elles ont été compilées dans le rapport 2012 de Verizon sur les compromissions de données.

« De nombreux experts de la sécurité fondent leurs prévisions sur des anecdotes et opinions », remarque Wade Baker, auteur principal du rapport sur les compromissions de données. « Les chercheurs de Verizon exploitent des données empiriques, dans le but d’aider les entreprises à concentrer leurs efforts sur les points qui méritent réellement leur attention ».

« Pour commencer, si la théorie d’une cyberguerre imminente est plausible, nous serions très surpris qu’elle se réalise », précise-t-il. « En 2013, les entreprises devraient plutôt craindre les attaques discrètes, qui prennent leur temps pour s’immiscer dans les systèmes. »

Les principales menaces identifiées par l’équipe RISK pour 2013 sont les suivantes :

– En tête de liste, avec une probabilité de 90 %, figurent les attaques contre les systèmes d’authentification, le plus souvent par l’exploitation des failles et le vol d’identifiants et mots de passe. « Dans 9 cas sur 10, les intrusions procèdent par usurpation des identifiants ou contournement des systèmes d’authentification. D’où l’importance pour les entreprises de se doter d’une procédure fiable de création, gestion et surveillance des comptes et des droits d’accès, pour tous leurs systèmes, terminaux et réseaux », commente M. Baker.

– Les opérations ciblant les applications Web sont la seconde grande menace. Elles concernent surtout des grandes entreprises et administrations, plus que des PME-PMI. La probabilité de ce type d’attaques est de 3 sur 4, selon les données recueillies par l’équipe RISK. « Les entreprises qui mésestiment le risque et ignorent les bonnes pratiques de développement et d’évaluation des applications seront donc fortement exposées en 2013 », poursuit M. Baker.

– L’ingénierie sociale, enfin, doit préoccuper les entreprises. Elle cible davantage les individus que les machines, et consiste à mettre au point des arnaques plus ou moins rusées pour obtenir des informations précieuses. « Les tactiques dites « sociales », de type phishing, ciblent 3 fois plus de grandes entreprises et administrations que de PME », indique M. Baker. « Il serait illusoire de penser éliminer toutes les erreurs humaines et les failles, mais en sensibilisant les salariés pour qu’ils se montrent plus vigilants, les entreprises pourront mieux contrôler et contenir les risques. »

Wade Baker ajoute qu’il faut s’attendre à ce que les attaques ciblées d’espions ou de hacktivistes, qui pénètrent les systèmes informatiques pour servir leurs causes politiques ou sociales, perdurent et que les entreprises « ont intérêt à ne pas baisser leur garde ».

Les membres de l’équipe RISK n’anticipent pas de compromissions directement dues à des pannes ou défauts de configuration de technologies Cloud, mais ils recommandent néanmoins aux entreprises de s’assurer que leur fournisseur de services Cloud applique les mesures nécessaires pour minimiser les risques.

Quant aux appareils mobiles, les experts de Verizon conseillent de les crypter, car les vols de données à partir de terminaux perdus ou volés malheureusement insuffisamment protégés resteront nettement plus fréquents que les vols par piratage et par logiciel malveillant.

L’équipe RISK prévoit également que le crime organisé s’en prendra bientôt aux technologies de paiement par mobile, ciblant les professionnels comme les particuliers. « Il est probable que l’on déplore ce phénomène dès 2013, mais c’est surtout après 2013 que nos chercheurs prévoient des risques de compromissions des données des grandes entreprises via les terminaux mobiles », déclare M. Baker.

Les grandes entreprises se félicitent volontiers de leur stratégie de sécurité, mais elles découvrent plus souvent leurs propres failles grâce à un tiers que par leurs propres moyens. « Et quand elles les détectent elles-mêmes, c’est généralement par accident », ajoute M. Baker avant de conclure :

« Aucun risque n’est à négliger. Simplement, l’analyse de nos données dans le temps nous apprend que tous ne sont pas aussi fréquents qu’on pourrait le penser, et que la probabilité est faible que certains donnent lieu à des compromissions de données en 2013. »