Dans l'édition 2020 de son benchmark des incidents de cybersécurité, le cabinet Wavestone dresse le bilan d'une soixantaine de cyberattaques subies par des organisations françaises entre septembre 2019 et août 2020, prises en charge par son équipe de gestion de crise (CERT). En moyenne, celle-ci a géré chaque mois une crise et quatre incidents majeurs, un chiffre en hausse de 50% par rapport à l'année précédente.
L'analyse des incidents confirme que la première motivation des cybermalfaiteurs est financière. 45% des attaques visent en effet à obtenir de l'argent, qu'il s'agisse de rançongiciels (un quart des incidents), d'actions frauduleuses (18,5%) ou de minage de bitcoins (seulement 1,5% des incidents). Le deuxième objectif majeur des attaquants est le vol de données, qui représente 30% des incidents. Par ailleurs, dans 10% des cas l'incident combine un ransomware classique et un vol de données. Les attaques par déni de services sont nettement plus rares, ne représentant que 4% des incidents. Dans 2% des cas, le CERT a observé des compromissions destinées à renforcer les capacités des attaquants : contournement des mécanismes de sécurité, attaques sur des partenaires de confiance, écoute illicite du réseau, etc. Enfin, les motivations n'ont pu être clairement établies dans 18% des incidents, en particulier lors d'attaques abandonnées ou interrompues.
Un quart des attaques détectées par les utilisateurs
Les cybermalfaiteurs sont majoritairement opportunistes, cherchant et ciblant des systèmes peu protégés dans 58% des cas. Toutefois, l'année écoulée a vu 39% d'attaques ciblées, visant spécifiquement une organisation, un chiffre en hausse de 9% selon Wavestone, qui souligne également que les attaquants impliqués dans celles-ci sont de mieux en mieux outillés. Enfin, 3% des attaques proviennent de menaces diffuses, comme les virus en circulation ou le spam.
D'après le benchmark, le délai entre une intrusion et sa détection diminue, restant toutefois de 94 jours en moyenne. Plus ennuyeux, moins d'un quart (24%) des incidents seulement sont identifiés par les services de cybersécurité des entreprises. Les utilisateurs et les clients en détectent quant à eux 25%. Enfin, 31% des attaques sont identifiés à cause de leurs impacts directs, comme une interruption de service ou une fraude très visible.
Plusieurs semaines avant de revenir à un fonctionnement normal
L'e-mail reste encore et toujours une porte d'entrée privilégiée, le phishing intervenant dans un cas sur quatre. Dans un incident sur cinq, les attaquants ont mis à profit les vulnérabilités des applications web, un aspect qui peut s'avérer problématique. En effet, dans une autre étude, Wavestone a constaté que 100% des applications web actuelles présentaient des vulnérabilités. Enfin, dans un cas sur dix, les cybercriminels ont infiltré le système d'information en passant par un service d'accès distant vulnérable - résultant souvent de déploiements dans l'urgence avec la crise sanitaire.
Selon cette étude, il faut en général, quelques semaines pour se rétablir après une cyberattaque, ce qui entraîne un impact non négligeable sur l'activité et le chiffre d'affaires. Si ce délai dépend de nombreux facteurs, comme la taille de l'entreprise, son niveau de cyberrésilience et le type d'attaque subi, il est de 3 semaines dans la moitié des cas et grimpe jusqu'à 7 semaines pour les incidents les plus sérieux. Wavestone observe également que les dispositifs de crise sont restés actifs jusqu'à deux fois plus longtemps durant le confinement, en raison des différentes contraintes sur le plan RH et sur les moyens d'accès au système d'information, rendant le partage d'information et la coordination plus difficiles.
Commentaire