Le nombre d’enregistrements portant sur des compromissions de données et étudiés par Verizon et les Services Secrets des Etats-Unis a chuté, passant de 144 millions en 2009 à 4 millions seulement en 2010, ce qui représente le plus faible volume de perte de données depuis la création du rapport en 2008. Le rapport de cette année couvre néanmoins 760 compromissions de données environ, soit le plus grand nombre de cas à ce jour.

D’après le rapport, l’apparente contradiction entre la faible proportion de pertes de données et le nombre élevé de compromissions semble liée à une baisse importante des compromissions de grande envergure, du fait d’un changement de stratégie chez les cybercriminels. Ces derniers lancent des attaques opportunistes à petite échelle plutôt que des attaques complexes à grande échelle, et utilisent des méthodes relativement peu sophistiquées pour pénétrer les systèmes des entreprises. Par exemple, seulement 3% des compromissions étaient considérées comme inévitables sans action corrective extrêmement complexe ou coûteuse.

Le rapport révèle également que les agents extérieurs sont responsables de 92% des compromissions, en nette augmentation par rapport aux conclusions du rapport 2010. Bien que le taux d’attaques par des agents internes ait considérablement diminué depuis l’an dernier (16% contre 49%), cette évolution est essentiellement liée à l’augmentation massive des petites attaques lancées par des agents extérieurs. En réalité, le nombre total d’attaques par des agents internes est resté relativement constant.

Le piratage informatique (50%) et les programmes malveillants (49%) constituent les principaux types d’attaque. Un grand nombre de ces attaques impliquent le vol des identifiants et des mots de passe dont le niveau de sécurité était trop faible. Pour la première fois, les attaques physiques, comme la compromission des guichets automatiques bancaires, font partie des trois attaques les plus couramment utilisées pour dérober des informations. Elles représentent 29% de tous les cas étudiés.

Pour la deuxième année consécutive, les Services Secrets des Etats-Unis ont participé à la préparation du rapport avec Verizon. L’Unité de police néerlandaise chargée de lutter contre la cybercriminalité (KLPD) a également rejoint l’équipe cette année, permettant à Verizon de disposer de davantage d’informations sur les cas en provenance d’Europe. Environ un tiers des cas de Verizon proviennent d’Europe ou d’Asie-Pacifique, ce qui démontre bien la nature globale des compromissions de données.

« Notre série de rapports d’enquête sur les compromissions de données nous permet de fournir à l’industrie une vue fiable de la cybercriminalité dans le monde entier », explique Peter Tippett, vice-président des solutions de sécurité et des solutions industrielles de Verizon. « Cette année, nous avons observé de nombreuses attaques extérieures très automatisées, des attaques lentes et de faible ampleur, des fraudes internes complexes, des plans d’altération de matériel à l’échelle nationale, des manœuvres sociales malicieuses et bien plus encore. On découvre pourtant que la grande majorité des compromissions aurait pu être évitée sans pour autant appliquer des mesures de sécurité particulièrement complexes et coûteuses. »

Tippett ajoute : « Il faut garder en tête que les compromissions de données peuvent concerner toutes les entreprises, quelle que soit leur taille ou leur secteur d’activité, et même des particuliers, partout dans le monde. Une bonne offensive reste la meilleure défense. Il est impératif de mettre en place des mesures de sécurité essentielles dans toute votre infrastructure de sécurité, qu’il s’agisse d’une petite installation de particulier ou d’une infrastructure à l’échelle d’un entreprise étendue. »

« Au cours des dernières années, les Américains ont pu constater l’importance de l’impact que les infractions en matière de données ont sur l’infrastructure financière de notre pays", explique AT Smith, Assistant Directeur des Services Secrets des Etats-Unis. "Aujourd’hui, les cybercriminels opèrent dans presque tous les pays civilisés du monde, exposant les informations personnelles des Américains, qu’elles soient stockées ou transmises vers des tiers, au plus haut niveau de risque que les États-Unis aient jamais connu. "
Il ajoute : « En participant à l’édition 2011 du Data Breach Investigations Report de Verizon, les Services Secrets travaillent en étroite collaboration avec nos partenaires du secteur privé pour sensibiliser les Américains aux menaces cybercriminelles. Avec l’aide de nos partenaires de la Electronic Crimes Task Force, dont Verizon fait partie, nous étudions les technologies et les tendances afin d’anticiper et de réduire les attaques à destination des infrastructures financières critiques. "

La série de rapports d’enquête sur les compromissions de données (DBIR) couvre à présent sept ans et plus de 1700 compromissions, impliquant plus de 900 millions de données, ce qui fait de cette étude la plus complète de sa catégorie.

Principales conclusions du Rapport 2011

Le Rapport 2011 révèle les conclusions suivantes :

· Les compromissions à grande échelle ont considérablement diminué, tandis que les attaques de faible ampleur ont augmenté. Le rapport indique qu’il existe de nombreuses explications possibles à cette tendance, notamment le fait que les petites et moyennes entreprises représentent les principales cibles des attaques de nombreux pirates, qui favorisent des attaques répétées et très automatisées contre ces cibles plus vulnérables, ou encore parce que les criminels se montrent plus prudents au regard des récentes arrestations et poursuites intentées contre des pirates de grande envergure.

· Les agents extérieurs sont responsables de la plupart des compromissions de données. 92% des compromissions de données ont été causées par des agents extérieurs. Contrairement aux clichés sur les employés malintentionnés, les agents intérieurs ne sont responsables que de 16% des attaques. Les attaques liées aux partenaires continuent de diminuer, les partenaires commerciaux représentant moins de 1% des compromissions.

· Les attaques physiques sont en hausse. Alors qu’en 2009, les attaques impliquant des actions physiques ont vu leur part doubler parmi le total des compromissions, elles ont encore doublé en 2010. Ces attaques incluent la manipulation d’équipements à cartes de crédit courants comme les guichets automatiques bancaires, les pompes à essence et les terminaux des points de vente. Les données indiquent que des groupes de crime organisé sont responsables de la plupart de ces fraudes à la carte bancaire.

· Le piratage et les programmes malveillants sont les méthodes d’attaque les plus populaires. Les programmes malveillants sont en cause dans environ la moitié des cas de 2010 et sont responsables d’approximativement 80% des données perdues. L’envoi de données à une entité extérieure, les backdoors et les enregistreurs de frappe sont les programmes malveillants les plus courants dans les cas étudiés.

· Le piratage et les programmes malveillants sont les méthodes d’attaque les plus populaires. Les programmes malveillants sont en cause dans environ la moitié des cas de 2010 et sont responsables d’approximativement 80% des données perdues. Les types de programme malveillant les plus courants dans les cas étudiés sont les programmes impliquant l’envoi de données à une entité extérieure, l’ouverture de portes dérobées et l’enregistrement de frappe.

· Les mots de passe et les identifiants dérobés sont hors contrôle. Les identifiants inefficaces, pas assez sûrs ou dérobés continuent d’infliger des dégâts dans la sécurité des entreprises. Le maintien d’identifiants par défaut reste un problème, en particulier dans les services financiers, dans les commerces de détail et dans le tourisme d’accueil.

Recommandations aux entreprises

Le Rapport 2011 révèle une nouvelle fois que la solution pour mettre un terme aux compromissions de données consiste à appliquer des pratiques de sécurité simples mais essentielles :

· Se concentrer sur les contrôles essentiels. De nombreuses entreprises font l’erreur de maintenir une très haute sécurité dans certains domaines tout en négligeant presque complètement d’autres domaines. Les entreprises sont bien mieux protégées si elles mettent en œuvre des contrôles essentiels dans toute l’entreprise, sans exception.

· Eliminer les données non nécessaires. Si certaines données ne vous sont pas utiles, elles ne doivent pas être conservées. Quant à celles qui doivent l’être, identifiez-les, surveillez-les et sauvegardez-les soigneusement.

· Sécuriser les services d’accès à distance. Limitez ces services à des adresses IP et des réseaux spécifiques en minimisant l’accès public. Assurez-vous également que votre entreprise restreint l’accès aux informations sensibles au sein du réseau.

· Contrôler les comptes des utilisateurs et surveiller les utilisateurs privilégiés. La meilleure approche consiste à faire confiance aux utilisateurs tout en les surveillant en réalisant une sélection préalable à l’embauche, en limitant les privilèges et en appliquant une séparation des tâches. Les dirigeants doivent fournir une orientation et superviser les employés afin de s’assurer qu’ils respectent les politiques et les procédures de sécurité.

· Surveiller et exploiter les journaux d’événements. Concentrez-vous sur les principaux éléments consignés par les journaux et non sur les détails. Réduire le délai de détection des compromissions de quelques semaines à quelques jours peut être très utile.

· Surveiller les actifs de sécurité physiques. Surveillez de près les équipements à carte bancaire comme les guichets automatiques bancaires et les pompes à essence afin de détecter d’éventuelles fraudes ou manipulations non autorisées.