Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Verizon Business publie l’édition 2010 de son rapport Data Breach

juillet 2010 par Verizon Business

L’édition 2010 du Verizon Data Breach Investigations Report, basé pour la toute première fois sur des données des Services Secrets américains, révèle une hausse des compromissions de données liées à des menaces internes et à l’utilisation d’outils sociaux au cours de l’année 2009. Les organisations criminelles restent également très actives.

Les résultats de cette enquête indiquent également un déclin « prometteur » du nombre total d’infractions étudiées l’année dernière par rapport à 2008.

Le vol de droits d’accès apparaît comme le moyen le plus utilisé pour accéder illégalement aux réseaux des entreprises en 2009, ce qui souligne une nouvelle fois la nécessité de règles de sécurité strictes aux niveaux des entreprises comme des individus. Le crime organisé était à l’origine de 85 % des vols de données l’année dernière.

Une fois encore, les experts en sécurité de Verizon Business considèrent que la plupart des compromissions auraient pu être évitées si les principes élémentaires de sécurité avaient été respectés. En effet, seuls 4 % des cas auraient nécessité des mesures de protection complexes et coûteuses à mettre en place.

Une bonne préparation demeure la meilleure défense contre les failles de sécurité, indique ce rapport 2010. Or, de nombreuses entreprises peinent encore à détecter les incidents et à y faire face. La majorité des infractions (60 %) continuent à être décelées par des tiers externes après un temps considérable. Alors que la faille est bien souvent signalée dans les journaux d’événements (logs) des victimes, elle est trop souvent ignorée, par manque de moyens humains, d’outils ou de processus.

La collaboration des Services Secrets américains, annoncée en mai, a permis aux experts de Verizon Business d’établir un état des lieux plus global des cas de violation de données étudiés ces six dernières années. La combinaison des données Verizon Business et des informations sur les cas investigués par les Services Secrets, chargés des enquêtes sur les délits financiers, permet à cette édition 2010 de couvrir quelque 900 compromissions pour plus de 900 millions de données corrompues.

« Nous avons pu cette année élargir notre champ d’investigation afin d’offrir une perspective plus large et approfondie des compromissions de données », explique Peter Tippett, Vice-président chargé des recherches et de la veille chez Verizon Business. « En intégrant les informations issues de la base de données des Services Secrets, nous améliorons notre compréhension des crimes informatiques et par conséquent notre capacité à lutter contre les infractions. »

Michael Merritt, Directeur adjoint chargé des investigations au sein des Services Secrets américains, déclare : « Nouer des partenariats entre les différentes autorités juridiques, les acteurs du secteur privé et les chercheurs est un moyen efficace de protéger le cyberespace. C’est cette collaboration qui aide notre agence à sensibiliser le public aux problématiques de sécurité et à améliorer sans cesse ses méthodes de détection et de prévention. »

Principaux résultats du rapport 2010

Les constatations de cette année confirment certaines conclusions de l’année passée tout en révélant de nouvelles tendances. En voici quelques exemples :
- La plupart des compromissions de données étudiées sont le fait de sources externes. 69 % des infractions proviennent de sources extérieures et 11 % seulement sont le fait de partenaires. 49 % ont été causées par des sources internes, une hausse par rapport à 2008 principalement due à l’inclusion des données et cas des Services Secrets américains.
- De nombreuses compromissions impliquent une utilisation abusive des droits d’accès. 48 % des infractions sont le fait d’utilisateurs malintentionnés qui ont abusé de leurs droits d’accès pour accéder à des informations de leur entreprise. 40 % d’entre elles sont attribuables à des pirates, tandis que 28 % se basent sur des outils sociaux et 14 % relèvent d’attaques physiques.
- Certains constats sont communs à toutes les violations de données. Comme lors des années précédentes, pratiquement toutes les données dérobées l’ont été depuis des serveurs et applications en ligne. 85 % des failles étaient simples à détecter et 87 % des victimes auraient pu repérer l’infraction grâce à leurs journaux d’événements, sans toutefois l’avoir fait.
- La conformité à la norme PCI-DSS reste une nécessité. 79 % des victimes concernées par la norme PCI-DSS n’étaient pas totalement conformes lors de l’infraction.

Etat des lieux des crimes informatiques en 2010

Selon le rapport, le déclin du nombre total de cas de compromissions de données peut s’expliquer par différents facteurs, notamment « l’efficacité des lois mises en place pour capturer les criminels ». Cette explication est illustrée par l’arrestation d’Albert Gonzalez, l’un des pirates informatiques les plus célèbres au monde, qui a plaidé coupable pour avoir participé à la création d’un réseau mondial responsable du vol de plusieurs centaines de millions de numéros de cartes de crédit et a été condamné l’année dernière à 20 ans de prison.

« La réduction du nombre d’infractions est le signe que nous progressons dans la lutte contre les crimes informatiques », indique Peter Tippett. « Grâce à la diffusion du framework de recherche en sécurité VERIS, nous sommes maintenant en mesure de partager davantage d’informations et de recouper nos données de sécurité avec des sources telles que la base d’investigation des Services Secrets. Nous sommes ainsi mieux armés que jamais pour doter les entreprises des meilleures pratiques, processus, outils et services dont elles ont besoin pour se protéger. »

Les cas de compromission de données continuent de toucher tout type d’entreprise. Mais les services financiers, l’hébergement et la vente de détail représentent le trio de tête des secteurs les plus ciblés (respectivement 33, 23 et 15 %) selon les données croisées de Verizon et des Services Secrets. Le périmètre des cas recueillis par Verizon place toutefois le secteur des technologies de pointe en 3ème position de ce classement, avant celui de la vente de détail. Une part grandissante de cas et un pourcentage considérable (94 %) de toutes les données corrompues en 2009 concernent le secteur des services financiers.

Plus de la moitié des violations étudiées par Verizon en 2009 ont eu lieu en dehors des Etats-Unis, tandis que la majeure partie des cas étudiés par les Services Secrets concernait les Etats-Unis. Le rapport n’indique aucune corrélation entre la taille d’une entreprise et ses risques d’être victime d’une violation de données.

« Les voleurs orientent davantage leur choix de cible en fonction de la valeur des données et du coût de l’attaque que de facteurs tels que la taille de l’entreprise, », indiquent les experts de Verizon.

Quelques recommandations pour les entreprises

Le Data Breach Investigations Report 2010 démontre, une fois de plus, que certaines mesures très simples, si elles sont appliquées convenablement et régulièrement, peuvent s’avérer très efficaces :
- Restreindre et surveiller les privilèges accordés aux utilisateurs. Les données recueillies par les Services Secrets indiquent une augmentation sans précédent du nombre d’infractions commises par des sources internes. Les utilisateurs en interne, en particulier ceux disposant de droits étendus, peuvent être difficiles à surveiller. La meilleure des stratégies est de n’accorder ce type de droits qu’après avoir réalisé une enquête avant embauche, de limiter les droits d’accès et d’instaurer une séparation des fonctions. L’usage de droits étendus doit être consigné dans les logs (journaux d’événements) et les activités effectuées détaillées dans des rapports destinés à la direction.
- Ne négliger aucun cas de violation de politique de sécurité. Les résultats de cette enquête permettent d’établir un lien entre les cas de violation de politique de sécurité en apparence mineurs et les abus plus sérieux. Tous les cas de violation doivent donc être pris en compte et traités. Selon le rapport, la simple présence de contenus illicites sur des systèmes utilisateur ou un comportement inapproprié doivent alerter les entreprises. La méthode la plus efficace est encore de rechercher activement ces indicateurs.
- Instaurer des mesures pour contrer les vols de codes d’accès. Empêcher l’installation des logiciels de capture de droits d’accès malveillants sur les systèmes est une priorité absolue. Un double système d’authentification peut constituer une solution efficace. Il peut également s’avérer utile, dans la mesure du possible, d’instaurer des règles sur le temps d’utilisation, d’inscrire les adresses IP suspectes sur une liste noire et de restreindre les connexions administrateur.
- Surveiller et filtrer le trafic sortant. Le rapport démontre que lors de la plupart des violations de données, quelque chose (données, communications, connexions) emprunte le réseau de l’entreprise pour rejoindre l’extérieur. Prévenir cette connexion sortante pourrait ainsi rompre la chaîne et stopper la fuite de données La surveillance, l’analyse et le contrôle du trafic sortant réduisent ainsi de manière significative les risques d’attaque des entreprises.
- Adapter sa stratégie de surveillance des événements et d’analyse des logs. La grande majorité des victimes dispose de la preuve de la compromission dans ses logs (journaux d’événements). La détection des éléments problématiques et la mise en oeuvre d‘actions correctives adaptées sont à la portée du plus grand nombre. Les entreprises devraient accorder davantage de temps au contrôle du traitement de leurs données et à l’analyse de leurs logs. Il est important qu’elles veillent à disposer du personnel, des outils et des processus adéquats pour détecter et pallier les anomalies.
- Partager ses informations sur les incidents. L’efficacité d’une entreprise à se protéger pleinement repose sur les informations dont elle dispose pour le faire. Verizon Business, pour qui la mise à disposition et le partage d’informations sont indispensables à la lutte contre les crimes informatiques, félicite toutes les entreprises qui prennent part à cet effort, notamment par le biais de programmes de partage de données tels que le framework VERIS.

Une version complète du Data Breach Investigations Report 2010 est disponible à l’adresse http://www.verizonbusiness.com/go/2...




Voir les articles précédents

    

Voir les articles suivants