Les résultats de cette enquête indiquent également un déclin « prometteur » du nombre total d’infractions étudiées l’année dernière par rapport à 2008.

Le vol de droits d’accès apparaît comme le moyen le plus utilisé pour accéder
illégalement aux réseaux des entreprises en 2009, ce qui souligne une nouvelle fois la nécessité de règles de sécurité strictes aux niveaux des entreprises comme des individus. Le crime organisé était à l’origine de 85 % des vols de données l’année dernière.

Une fois encore, les experts en sécurité de Verizon Business considèrent que la plupart des compromissions auraient pu être évitées si les principes élémentaires de sécurité avaient été respectés. En effet, seuls 4 % des cas auraient nécessité des mesures de protection complexes et coûteuses à mettre en place.

Une bonne préparation demeure la meilleure défense contre les failles de sécurité, indique ce rapport 2010. Or, de nombreuses entreprises peinent encore à détecter les incidents et à y faire face. La majorité des infractions (60 %) continuent à être décelées par des tiers externes après un temps considérable. Alors que la faille est bien souvent signalée dans les journaux d’événements (logs) des victimes, elle est trop souvent ignorée, par manque de
moyens humains, d’outils ou de processus.

La collaboration des Services Secrets américains, annoncée en mai, a permis aux experts de Verizon Business d’établir un état des lieux plus global des cas de violation de données étudiés ces six dernières années. La combinaison des données Verizon Business et des informations sur les cas investigués par les Services Secrets, chargés des enquêtes sur les délits financiers, permet à cette édition 2010 de couvrir quelque 900 compromissions pour plus de 900 millions de données corrompues.

« Nous avons pu cette année élargir notre champ d’investigation afin d’offrir une perspective plus large et approfondie des compromissions de données », explique Peter Tippett, Vice-président chargé des recherches et de la veille chez Verizon Business. « En intégrant les informations issues de la base de données des Services Secrets, nous améliorons notre compréhension des crimes informatiques et par conséquent notre capacité à lutter contre les infractions. »

Michael Merritt, Directeur adjoint chargé des investigations au sein des Services
Secrets américains, déclare : « Nouer des partenariats entre les différentes autorités juridiques, les acteurs du secteur privé et les chercheurs est un moyen efficace de protéger le cyberespace. C’est cette collaboration qui aide notre agence à sensibiliser le public aux problématiques de sécurité et à améliorer sans cesse ses méthodes de détection et de prévention. »

Principaux résultats du rapport 2010

Les constatations de cette année confirment certaines conclusions de l’année passée tout en révélant de nouvelles tendances. En voici quelques exemples :
– La plupart des compromissions de données étudiées sont le fait de sources
externes. 69 % des infractions proviennent de sources extérieures et 11 % seulement sont le fait de partenaires. 49 % ont été causées par des sources internes, une hausse
par rapport à 2008 principalement due à l’inclusion des données et cas des Services
Secrets américains.
– De nombreuses compromissions impliquent une utilisation abusive des droits
d’accès. 48 % des infractions sont le fait d’utilisateurs malintentionnés qui ont abusé de leurs droits d’accès pour accéder à des informations de leur entreprise. 40 % d’entre elles sont attribuables à des pirates, tandis que 28 % se basent sur des outils
sociaux et 14 % relèvent d’attaques physiques.
– Certains constats sont communs à toutes les violations de données. Comme
lors des années précédentes, pratiquement toutes les données dérobées l’ont été depuis
des serveurs et applications en ligne. 85 % des failles étaient simples à détecter et
87 % des victimes auraient pu repérer l’infraction grâce à leurs journaux
d’événements, sans toutefois l’avoir fait.
– La conformité à la norme PCI-DSS reste une nécessité. 79 % des victimes
concernées par la norme PCI-DSS n’étaient pas totalement conformes lors de
l’infraction.

Etat des lieux des crimes informatiques en 2010

Selon le rapport, le déclin du nombre total de cas de compromissions de données peut
s’expliquer par différents facteurs, notamment « l’efficacité des lois mises en place pour
capturer les criminels ». Cette explication est illustrée par l’arrestation d’Albert Gonzalez,
l’un des pirates informatiques les plus célèbres au monde, qui a plaidé coupable pour avoir
participé à la création d’un réseau mondial responsable du vol de plusieurs centaines de
millions de numéros de cartes de crédit et a été condamné l’année dernière à 20 ans de prison.

« La réduction du nombre d’infractions est le signe que nous progressons dans la lutte
contre les crimes informatiques », indique Peter Tippett. « Grâce à la diffusion du framework
de recherche en sécurité VERIS, nous sommes maintenant en mesure de partager davantage
d’informations et de recouper nos données de sécurité avec des sources telles que la base
d’investigation des Services Secrets. Nous sommes ainsi mieux armés que jamais pour doter les entreprises des meilleures pratiques, processus, outils et services dont elles ont besoin pour
se protéger. »

Les cas de compromission de données continuent de toucher tout type d’entreprise.
Mais les services financiers, l’hébergement et la vente de détail représentent le trio de tête des
secteurs les plus ciblés (respectivement 33, 23 et 15 %) selon les données croisées de Verizon
et des Services Secrets. Le périmètre des cas recueillis par Verizon place toutefois le secteur
des technologies de pointe en 3ème position de ce classement, avant celui de la vente de
détail. Une part grandissante de cas et un pourcentage considérable (94 %) de toutes les
données corrompues en 2009 concernent le secteur des services financiers.

Plus de la moitié des violations étudiées par Verizon en 2009 ont eu lieu en dehors des
Etats-Unis, tandis que la majeure partie des cas étudiés par les Services Secrets concernait les
Etats-Unis. Le rapport n’indique aucune corrélation entre la taille d’une entreprise et ses
risques d’être victime d’une violation de données.

« Les voleurs orientent davantage leur choix de cible en fonction de la valeur des
données et du coût de l’attaque que de facteurs tels que la taille de l’entreprise, », indiquent
les experts de Verizon.

Quelques recommandations pour les entreprises

Le Data Breach Investigations Report 2010 démontre, une fois de plus, que certaines mesures
très simples, si elles sont appliquées convenablement et régulièrement, peuvent s’avérer très
efficaces :
– Restreindre et surveiller les privilèges accordés aux utilisateurs. Les données
recueillies par les Services Secrets indiquent une augmentation sans précédent du
nombre d’infractions commises par des sources internes. Les utilisateurs en interne, en particulier ceux disposant de droits étendus, peuvent être difficiles à surveiller. La
meilleure des stratégies est de n’accorder ce type de droits qu’après avoir réalisé une
enquête avant embauche, de limiter les droits d’accès et d’instaurer une séparation
des fonctions. L’usage de droits étendus doit être consigné dans les logs (journaux
d’événements) et les activités effectuées détaillées dans des rapports destinés à la
direction.
– Ne négliger aucun cas de violation de politique de sécurité. Les résultats de
cette enquête permettent d’établir un lien entre les cas de violation de politique de
sécurité en apparence mineurs et les abus plus sérieux. Tous les cas de violation
doivent donc être pris en compte et traités. Selon le rapport, la simple présence de
contenus illicites sur des systèmes utilisateur ou un comportement inapproprié
doivent alerter les entreprises. La méthode la plus efficace est encore de rechercher
activement ces indicateurs.
– Instaurer des mesures pour contrer les vols de codes d’accès. Empêcher
l’installation des logiciels de capture de droits d’accès malveillants sur les systèmes
est une priorité absolue. Un double système d’authentification peut constituer une
solution efficace. Il peut également s’avérer utile, dans la mesure du possible,
d’instaurer des règles sur le temps d’utilisation, d’inscrire les adresses IP suspectes
sur une liste noire et de restreindre les connexions administrateur.
– Surveiller et filtrer le trafic sortant. Le rapport démontre que lors de la
plupart des violations de données, quelque chose (données, communications,
connexions) emprunte le réseau de l’entreprise pour rejoindre l’extérieur. Prévenir
cette connexion sortante pourrait ainsi rompre la chaîne et stopper la fuite de données
La surveillance, l’analyse et le contrôle du trafic sortant réduisent ainsi de manière
significative les risques d’attaque des entreprises.
– Adapter sa stratégie de surveillance des événements et d’analyse des logs.
La grande majorité des victimes dispose de la preuve de la compromission dans ses
logs (journaux d’événements). La détection des éléments problématiques et la mise
en oeuvre d‘actions correctives adaptées sont à la portée du plus grand nombre. Les
entreprises devraient accorder davantage de temps au contrôle du traitement de leurs données et à l’analyse de leurs logs. Il est important qu’elles veillent à disposer du
personnel, des outils et des processus adéquats pour détecter et pallier les anomalies.
– Partager ses informations sur les incidents. L’efficacité d’une entreprise à se
protéger pleinement repose sur les informations dont elle dispose pour le
faire. Verizon Business, pour qui la mise à disposition et le partage d’informations
sont indispensables à la lutte contre les crimes informatiques, félicite toutes les
entreprises qui prennent part à cet effort, notamment par le biais de programmes de
partage de données tels que le framework VERIS.

Une version complète du Data Breach Investigations Report 2010 est disponible à l’adresse
http://www.verizonbusiness.com/go/2010databreachreport/