Le rapport annuel de Verizon se base sur un réseau de partenaires qui lui font remonter tous les incidents cyber et, le cas échéant, quand il y a eu une fuite de données. Pour ce rapport, 16.312 incidents de sécurité à travers le monde ont été examinés : 5.199 ont impliqué une fuite de données.

Répartition des incidents par catégorie

En 2022, les dénis de services (inonder une entreprise de requêtes par Internet pour la bloquer numériquement) représentent le plus important type d'incidents de sécurité en volume (à peu près 40 % venant d'un pic en 2021 à 50 %) suivi des incidents d'intrusion dans les systèmes. Ce ne sont pas les dénis de services qui sont à l'origine des brèches de données mais bien les intrusions, de loin (40 % des brèches). Ce sont pourtant les attaques les plus complexes. Viennent ensuite les brèches de données rendues possibles via les applications web (35%) : on y utilise les informations d'identification volées (login et mot de passe) ailleurs et on accède ainsi aux données auxquelles la victime avait légitimement accès. Car les accès sont rarement protégés par plus ! Vient ensuite l'ingénierie sociale pour 20 % des incidents qui aboutissent à une brèche de données.

Pour cette dernière catégorie, ce sont surtout les emails professionnels compromis (business email compromises) qui représentent plus de 50 % des incidents. Dans ces attaques, un hacker prend possession d'un email professionnel d'une personne et puis s'adresse à ses correspondants en se faisant parfaitement passer pour lui.

Les vecteurs d'attaque

Dans 24 % des cas de brèches de données, les ransomwares en sont la cause. Ils comptent pour à peu près 15 % de tous les incidents de sécurité. Ceci dit, les ransomwares ne sont pas le premier vecteur d'attaque qui mènent à des brèches de données. Il y a tellement plus simple : l'utilisation des informations d'identification volées, de nouveau. L'hameçonnage arrive en quatrième cause de brèche de données et le pretexting en cinquième place. Le pretexting est un contact de quelqu'un que vous pensez connaître, qui se fait passer pour un de vos proches ou, plus subtilement, une connaissance professionnelle pas si proche mais qui est subitement dans le pétrin et a besoin d'aide. Si cette personne n'est pas trop proche, vous détecterez moins vite que cela ne pourrait pas être elle mais vous voudrez l'aider. L'exploitation des vulnérabilités, finalement, n'est à quelques pourcent seulement dans ce classement des vecteurs d'attaque avec fuite de données. Ceci dit, les conséquences d'un ransomware sont telles que cette troisième place sur le podium ne doit pas nous rassurer ! D'ailleurs les ransomwares sont le vecteur d'attaque préféré du crime organisé. En d'autres mots, si vous êtes ciblés par ce dernier, vous savez déjà comment vous le serez. Il y a eu moins de supply chain attacks (attaques par l'intermédiaire de vos fournisseurs) avec une diminution de 7 % à 5 % comme s'il y avait eu une prise de conscience de mieux faire attention aux fournisseurs mais Verizon en doute un peu. C'est simplement dû à l'augmentation de l'utilisation des données d'identification volées qui passe de 41,6 % à 44,7 %. Les autres vecteurs d'attaque diminuent mécaniquement.

Malheureusement, l'élément humain reste de loin la cause principale des brèches de données : 74 % de toutes les brèches incluent ce facteur humain, avec des gens qui ont fait une erreur, ou bien ont utilisé leurs droits informatiques pour avoir accès à de l'information ou il s'agit de l'utilisation d'informations d'identification volées ou, bien sûr, de l'ingénierie sociale. Comme on peut s'en douter, 83 % des brèches impliquent des acteurs externes et la motivation n'est que financière (95 %). Ces acteurs externes sont surtout issus du crime organisé à 75 %. Il y a eu très peu d'attaques menées par des Etats alors qu'avec la guerre en Ukraine, on aurait pu s'attendre à une augmentation.

Comment forcer la porte d'entrée

Les trois moyens avec lesquels les attaquants arrivent à pénétrer dans une organisation sont les informations d'identification volées (50 %), le phishing (17 %) et l'exploitation de vulnérabilités (quelques pour cents). Verizon revient sur la fameuse vulnérabilité log4j qui fut exploitée fin 2021, début 2022 : 32 % des tentatives pour voir si les entreprises avaient la vulnérabilité chez elles ont été réalisées dans les 30 jours de la révélation de son existence avec un pic d'activité après 17 jours. Ceci donne un bon ordre de grandeur du délai pour réparer les vulnérabilités, une fois annoncées comme exploitables.

Dans les attaques de 2022, les actifs/entités visés ont été pour plus de 80 % les serveurs des organisations. Les machines individuelles n'arrivent qu'en 3e position derrière les individus à 20 %. Quand un actif est visé avec des données : à plus de 50 % des cas, ce sont des données personnelles suivies des informations d'identification, ensuite des données internes à l'organisation. Les données médicales, bancaires ou de paiement arrivent en 5, 6 et 8e position.

Par types d'attaques

Quand il s'agit de pénétrer dans un système, cette attaque est perpétrée par des hackers qui ne peuvent qu'être expérimentés avec comme but final d'y installer un ransomware. En utilisant les données du FBI, Verizon a pu mettre à jour l'impact des ransomwares sur les organisations : le coût médian des ransomwares a doublé à 26.000 dollars. 95 % des ransomwares ont un coût inférieur à 2,25 millions de dollars (ce qui veut dire que 5 % sont au-dessus et cela peut crever certains plafonds). Le coût pour se remettre d'un ransomware augmente donc même si les montants des rançons sont plus bas. C'est que la taille moyenne des entreprises victimes de ransomwares diminue, comme le montant des ransomwares exigés pour espérer être payés. Verizon précise par quel moyen un ransomware pénètre les organisations : les emails et les applications pour accéder à distance aux ordinateurs sont à égalité pour le premier à 30 %, le second à 20 %. Les applications web arrivent ensuite.

Dans le cas de l'ingénierie sociale, ce sont le phishing et pretexting qui continuent de dominer. Le pretexting, ce sont des prises de contact avec un sentiment d'urgence ou émotionnel pour répondre ou entreprendre une action dont on ne mesure pas à l'instant les conséquences possibles, comme divulguer une information : cela va très vite. Ce sont les business email compromises qui restent le plus dangereux dans cette famille.

Les erreurs humaines sont celles qui, quasi à 100 %, finissent en brèches de données. Ce sont les erreurs de distribution de l'information à la mauvaise personne qui arrivent en tête avec 43 % des brèches suivi par des erreurs de publication (trop tôt, trop de détails, pas la bonne audience) à 23 %. La majorité des erreurs humaines proviennent des développeurs et des administrateurs systèmes, dans les deux cas autour de 40 %. Les utilisateurs finaux n'interviennent finalement que dans 20 % des brèches.

Les dénis de service continuent de dominer les incidents. Les capacités d'attaque augmentent : 2,5 % d'entre elles arrivent à mobiliser 99 GBits/s à 124 GBits/s de bande passante. Même la médiane a cru de 1.4 GBits/S à 2.2 GBits/s. Il est devenu tellement facile de louer de la bande passante et des CPU que ces chiffres ne vont faire qu'augmenter. Fini le temps des botnets avec des millions de caméras connectés à Internet à mobiliser (pirater) avant toute attaque. Quelques serveurs dans le cloud suffisent. Même si les protections anti-déni de service fonctionnent bien, il faut qu'elles suivent en capacité.

La perte d'appareils est à plus de 90% la cause première des brèches de données via les appareils portables. Le vol ne vient que pour quelques pour cents. Le problème, c'est qu'en cas de vol ou de perte, on ne saura jamais si les données ont été consultées ou pas. On perd plus son téléphone mobile (70 % des cas) que son ordinateur (portable, 25 % des cas).

Conclusions

L'élément humain, c'est désespérant, est toujours la cause principale des brèches et la plupart des attaques ont trait à de l' ingénierie sociale. Même les sociétés les mieux protégées techniquement se retrouvent tout à coup vulnérables car on ne peut pas « patcher » le comportement humain ! Il est temps de sophistiquer les entrainements du personnel. De simples tests de reconnaissance de phishing ou des formations en ligne ne suffisent pas. Organiser des tests de pretexting n'est pas simple non plus. Mais au fond, il y a plus simple : on aime tous les histoires... Publier et raconter ce qui est arrivé aux autres captera l'attention.

Ce qui pose aussi problème, ce sont les comportements dans la sphère privée : soit on croit que les bonnes pratiques chez soi, transposées au bureau suffisent (quelles bonnes pratiques ?) ou bien, une fois chez soi, on oublie ce qu'on a appris au bureau. Rien de nouveau sous le soleil.

______

Pour en savoir plus : DBIR 2023 Data Breach Investigations Report, Verizon