Le DBIR (Data Breach Investigation Report) est une institution dans la communauté cyber : ce rapport, publié fin mai, repose sur les données fournies à Verizon, société américaine de communications,  par 87 partenaires, de tout type, agences de renseignement, CERT, entreprises actives dans la sécurité, dans 82 pays, ce qui lui a permis d'examiner 23.896 incidents et 5.212 brèches de données. Il n'y rien de tel pour sentir où va la menace cyber et comment orienter sa stratégie cyber.

Par incident, il faut comprendre tout évènement qui a pu compromettre la confidentialité, l'intégrité (absence d'altération) et la disponibilité des données de l'entreprise dont elle a besoin pour fonctionner (et qui ne sont pas publiques). Par brèches, on entend par là que ces mêmes données tombent dans des mains non autorisées, que ce soit par inadvertance ou suite à une attaque.

Comment les hackers arrivent-ils tout simplement à pénétrer le réseau des entreprises ? En utilisant les accès (volés) des employés, pardi, dans 45 % des cas. C'est triste à dire mais le facteur humain reste le problème. Quand il ne s'agit pas de l'utilisation d'un accès volé, l'hameçonnage, qui consiste à tromper l'utilisateur pour lui demander des données privées,  vient en deuxième position, à 17-18 %. Les vulnérabilités découvertes dans les logiciels ne viennent qu'en troisième position. Pourquoi se fatiguer, en effet, à en exploiter une, ce qui prend du temps, alors que la naïveté des utilisateurs suffit (il en suffit d'un qui tombe dans le panneau pour attaquer une société). Dans 7 % des cas des brèches de données, c'est tout de même une vulnérabilité qui a été exploitée. Comment font les hackers dans ce cas ? Ils scannent les adresses IP, regardent les ports ouverts, ensuite les services ouverts et, enfin, ils testent les vulnérabilités pas encore colmatées dans ces services. Ils essayent alors des commandes d'exécution à distance sur ces services pour pénétrer dans le réseau d'entreprise à travers ces derniers.

Une fois dans le réseau, les criminels se mettent aussi à chercher des vulnérabilités de l'intérieur, celles qu'on ne corrige pas tout de suite car les machines qui les hébergent ne sont quand même pas directement accessibles depuis Internet. Erreur, insiste Verizon : ces vulnérabilités servent à étendre l'accès que le criminel a obtenu dans l'entreprise. Les hackers seraient même assez systématiques dans la recherche des vulnérabilités, pour retrouver celles qu'ils savent déjà exploiter. Pour mener à bien toute leur attaque, les hackers n'ont besoin que de 3 étapes. C'est peu mais c'est normal : plus il y a d'étapes, plus les chances d'être découvert sont importantes.

En 2022, Verizon a observé une amélioration du temps mis pour colmater toutes les vulnérabilités : au bout de 7 jours, en 2022, 90 % des vulnérabilités sont corrigées ce qui était loin d'être le cas en 2021. Un autre indicateur le confirme : le nombre médian de vulnérabilités qui subsistent dans les machines accessibles sur Internet. Même les sociétés qui ont rapporté un incident de sécurité ou un ransomware n'ont presque plus de vulnérabilités sur leurs serveurs qui font face à Internet. On pourrait alors se demander pourquoi les hackers essaient encore de trouver des vulnérabilités ? A cause des exceptions ! La queue de la distribution du nombre de vulnérabilités pour les entreprises qui ont déjà rapporté un ransomware est très allongée au contraire de celles n'ayant jamais rapporté d'incident. En d'autres termes, il y a des mauvais élèves parmi les attaqués et c'est ce qui justifie que les hackers continuent.

Les intrusions sont découvertes plus en terme de jours qu'en mois dans 70 % des cas mais ce n'est pas un mieux que ce chiffre traduit. C'est parce que le criminel se fait connaitre pour exiger une rançon ou qu'il met en vente les données sur un forum.

Rançongiciels toujours au top

Ce ne sera une surprise pour personne : les rançongiciels continuent d'occuper le devant de la scène : leur occurrence a augmenté de 13 % l'année passée, plus que les 5 années précédentes cumulées, dit Verizon. Les victimes sont hélas prêtes à payer, vite et bien, et les cryptomonnaies facilitent le paiement. Les criminels ne cherchent même plus à monétiser ou vendre, comme autrefois, les données volées car les ransomwares (et la publication des données volées sur le dark web en cas de non-paiement) sont tellement efficaces que cela ne vaut plus la peine de se fatiguer. Ceci dit, on constate pour l'instant un tassement des ransomwares en 2022, dû à l'isolement de la Russie dans les marchés financiers : se faire payer en Russie où résident les hackers (appelons un chat un chat) devient difficile...

Les attaques "supply chains", celles qui visent les fournisseurs de l'entreprise attaquée plutôt que l'entreprise elle-même donnent un formidable effet de levier : ce qui ne marche pas dans l'entreprise, comme vecteur d'attaque, essayons-le chez un de ses fournisseurs.

Le rapport de Verizon fait une distinction entre les brèches de données chez les tierces parties et chez les fournisseurs (supply chains) : par tierce partie, il faut entendre les entreprises qui possèdent et gèrent des données de leurs clients, donc des données qui ne leur appartiennent pas et qui touchent plusieurs entreprises à la fois. Ce sont les mêmes types d'attaques qui seront utilisées chez les fournisseurs : accès volés d'employés, ransomwares. Quant aux fournisseurs, les vecteurs d'attaques sont différents. Les criminels y placeront des portes dérobées et prendront le contrôle pour, de là, pénétrer le réseau des clients comme s'ils étaient le fournisseur. Un seul coup suffit pour faire tomber une multitude de clients.

Types d'incidents et de brèches de données

Quels sont les types d'incidents les plus souvent rencontrés : les dénis de services dans plus de 40% des cas (qui affectent alors la disponibilité des données) suivi par les attaques contre les services web de l'entreprise, les plus exposés (à tout vent) et les intrusions dans les systèmes, à peu près à égalité dans 20 % des cas. En moyenne, les dénis de services durent 4 heures et il y en a moins de 10 par an. Avant 2021, les attaques par déni de service semblaient être ad hoc. Elles semblent plus systématiques car on observe un débit plus uniforme autour de la médiane comme si c'était toujours les mêmes infrastructures qui étaient utilisées. L'ingénierie sociale ne compte que pour 10 % de ces incidents mais ce n'est pas son but non plus. A part les attaques contre les services web qui augmentent graduellement depuis 2008 au détriment de l'ingénierie sociale, les autres types d'attaques restent stationnaires.

Si on regarde les types d'attaques liées aux brèches de données, cette fois, 82 % trouvent leur origine dans un facteur humain, encore et toujours : ingénierie sociale, erreur des employés, perte d'appareil contenant des données...

Quant au moyen utilisé, il s'agit d'intrusions dans les systèmes à plus de 40 %. Les attaques contre les serveurs web qui contiennent des données et l'ingénierie sociale comptent à égalité pour plus de 20 % comme cause de brèches de données. 80 % des attaques réussies contre les serveurs web résultent de l'utilisation d'accès volés. L'exploitation de vulnérabilités est à peine de 20 %. A noter que les attaques contre les serveurs email sont aussi considérés dans cette catégorie.

Les intrusions dans les systèmes augmentent de manière exponentielle mais ce n'est pas étonnant : elles incluent les rançongiciels et les attaques "supply chains". Il y a aussi la catégorie divers qui attire l'attention. On y met là les brèches de données causées par des mauvaises configurations, des envois de données ou d'information à de mauvais destinataires. Verizon y voit l'effet d'un recours accru aux clouds. Il est certes si facile de faire de mauvais réglages mais les fournisseurs de cloud imposent de plus en plus des réglages qu'il est compliqué de désactiver. C'est ce qui explique la baisse progressive malgré tout.

Il y a enfin, comme cause de brèche, les abus de privilèges, de l'ordre de 3 à 5% des cas. Ils couvrent les situations où l'employé vole des données mais aussi des accidents comme, par exemple, l'employé qui râle de ne pas avoir à sa disposition les bons outils pour travailler et décide de rapatrier les données sur son propre PC pour y utiliser ses applications personnelles dont il a l'habitude. Verizon insiste donc sur la discipline à avoir de fournir les applications au point et modernes à ses employés.

Confidentialité, intégrité et disponibilité impactés à proportion égale

Si un incident de sécurité n'affectait ni la confidentialité, ni l'intégrité et ni la disponibilité des données, on ne devrait même pas s'en occuper.

Aujourd'hui, ces trois traits de caractère à préserver pour les données en entreprises sont compromis en proportion égale même si en 2018, les données subissaient plus souvent un impact sur leur confidentialité et leur intégrité. Evolution intéressante : les données de paiement et autres numéros de cartes de crédit n'ont plus l'air d'intéresser les criminels : elles sont mieux protégées et peu exploitables (il est loin le temps où il suffisait de communiquer son numéro de carte de crédit pour payer). Les données personnelles et les données d'accès à des systèmes sont celles qui ont la cote dans les brèches de données. Les premières servent à initier de la fraude financière, en se faisant passer pour quelqu'un d'autre par exemple (et contourner les questions de sécurité ou essayer d'avoir un accès à un crédit).

Accès compromis, hameçonnage et exploitation des vulnérabilités seront les moyens par lesquels les hackers pénétreront votre réseau, via un fournisseur s'il le faut. Une fois à l'intérieur, ils lanceront sans doute un rançongiciel. Le facteur humain et les erreurs humaines sont les causes principales de brèches. Pourtant le temps consacré chaque année au training cyber des employés dans les entreprises est compris entre 1 heure et quelque 175 min. Quasi aucune entreprise n'y consacre plus d'une journée.

Quand cela changera-t-il ?

______

Pour en savoir plus : Data Breach Investigation Report, 2022, Verizon, 24 mai 2022