Par Lucie Saunois – 

Radware logoL’entreprise de sécurité informatique Radware a publié, cette semaine, son nouveau rapport annuel sur la sécurité applicative et réseau. La publication, exposant les tendances de l’année 2016, met en évidence des points intéressants, et donne bon espoir quant à la prise de conscience autour du besoin de sécurité informatique. Voici notre résumé.

Les marketplaces du Darknet

Radware met en évidence qu’il est, malheureusement, de plus en plus simple de réaliser des attaques informatiques sans aucune connaissance technique. Si certains pirates utilisent leurs compétences pour leur propre compte, un certain nombre d’entre eux voit, dans la vente d’attaques, une source de profit. Ainsi grossit une nouvelle typologie de pirates : les consommateurs. Ces derniers utilisaient auparavant les kits et outils mis à leur disposition par des hackers plus doués ; aujourd’hui, ils peuvent simplement payer un « prestataire » pour réaliser l’attaque à leur place.

Ces groupes de pirates ont bien compris que la demande augmente… tout comme la concurrence ! Pour rester visible, ils n’hésitent pas à lancer une attaque simplement pour promouvoir leurs produits ! Ils améliorent également leurs offres, les rendant plus complexes à mitiger.

Menaces informatiques les plus répandues

En 2016, les pirates lancent donc des attaques de plus en plus développées, passant par de multiples biais. Ils utilisent des vecteurs applicatifs sophistiqués, et envoient des volumes important dans le réseau… Mais on y retrouve toujours les attaques les plus répandues.

L’année 2016 a été marquée par l’explosion des demandes de rançon : 41% des entreprises interrogées indiquent aujourd’hui que c’est la plus grande menace sur leur entreprise (contre 25% en 2015).

Ransomware, DoS ou autres vecteurs sont en effet les manières les plus simples et les moins coûteuses pour extorquer quelqu’un. Malgré cela, les entreprises sont seulement 7% à avoir une réserve de Bitcoin en cas de demande de rançon.

Le deuxième type d’attaque le plus répandu, après les malwares, est l’ingénierie sociale, qui connaît une baisse de régime (-18%). On trouve ensuite les DDoS, les attaques applicatives et les ransomwares. Mais ce qui est particulièrement intéressant, c’est le fait que 98% des entreprises interrogées ont subi au moins une attaque en 2016, et 25% ont été attaquées au moins une fois par semaine. La preuve que la sécurité informatique est l’affaire de tous…

Radware security report - attaques

© 2017 Radware, Ltd

Deux nouvelles menaces font également leur apparition : la menace interne, et les attaques sponsorisées par des Etats. Le fait qu’elles commencent à inquiéter les entreprises est une bonne chose, puisqu’elles pourront se protéger en conséquence !

Le cas SSL/TLS

Selon Radware, les attaques utilisant SSL ou TLS sont également en augmentation de 10%, et ce depuis 2 ans. Ces protocoles garantissent une communication sûre, en cryptant les données… mais rendent également plus compliquée la détection des attaques, lorsqu’elles passent par ce biais. Retrouvez directement l’analyse de Radware sur le sujet en p.26, suivie de conseils de protection.

Attaques DDoS et IoT

Enfin, cela a fait beaucoup de bruit, nous avons-nous-même publié un article sur le sujet… L’ère des botnets exploitant les objets connectés est arrivée, ou « l’ère de la DDoS à 1Tbps » comme l’appelle Radware. Ces objets sont mal protégés et peuvent être utilisés à tout moment, ce qui en fait des cibles faciles. Cela a bien été compris par les experts en sécurité : ils sont 55% à indiquer que l’IoT va compliquer la mitigation et la détection des incidents.

L’exploitation des objets connectés est tellement simple que les pirates informatiques ne prennent même pas la peine de protéger leurs bots, puisqu’ils pourront de toute façon réinfecter leur cible en moins d’une heure. C’est une inversion de la tendance : auparavant, les pirates passaient du temps et consacraient des ressources à la création de leurs botnets. Aujourd’hui, ils ont accès à des millions de machines en très peu de temps et pour un coût presque nul. Nous devons donc revoir notre propre modèle de sécurité informatique, qui n’est plus adapté à cette nouvelle configuration.

Rendez-vous p.29 pour en savoir plus, notamment sur le malware Mirai ! Radware a testé cet outil Open Source, pour voir les dégâts possibles qu’il pourrait causer… Mais attention à ne pas s’emporter : même si des records de volume ont été battus, les DDoS non volumétriques restent les plus fréquentes.

Radware Security Report - DDoS

© 2017 Radware, Ltd

Les secteurs les plus touchés

Les secteurs les plus attaqués sont, sans surprise, la finance et la banque ainsi que les gouvernements et les administrations. Les fournisseurs de service sont également une cible de choix, une attaque pouvant se répercuter sur leurs clients. Viennent ensuite le retail, l’éducation et la santé… particulièrement maintenant que les données médicales se vendent plus cher que les numéros de carte bleue !

Mais les pirates cherchent également des profils bien précis, notamment lorsqu’une rançon est en jeu. Une entreprise connue pour éviter les scandales publics à tout prix, ne bénéficiant pas d’expertise technique ou de sécurité en interne et hébergeant des données critiques sur un système faillible, sera ainsi une cible de choix.

Et leurs protections ?

Heureusement, on trouve de bonnes nouvelles au niveau de la production ! Les organisations ont, en 2016, une approche équilibrée de la balance sécurité – business. Elles sont prêtes à risquer quelques faux positifs, et donc une potentielle perte de revenus, au profit d’un bon niveau de sécurité.

Ainsi, la majorité des entreprises se dit prête à se protéger contre les malware, les DDoS ou les attaque applicative. La tendance s’inverse cependant pour les attaques aléatoires, l’ingénierie sociale ou les APT (Advanced Persistent Threat ou Menace Persistante Avancée). De plus, 2/5 des entreprises avouent ne pas pouvoir se défendre contre une attaque plus de 24h.

Pourtant, l’adoption des outils de protection va dans le bon sens. Plus de 90% des entreprises interrogées utilisent au moins une solution pour protéger leur application web, et 75% bénéficient d’un WAF ! Cette tendance très positive est notamment liée à la montée en puissance des méthodes Agile et DevOps. En effet le WAF, tout comme les tests de pénétration et les audits de code, est l’une des options de sécurité adaptées à ces nouveaux modèles.

Radware Security Report - Solutions

© 2017 Radware, Ltd

La réponse aux attaques

Malgré l’amélioration de la protection globale, de nombreuses attaques atteignent toujours leur cible. Il est rassurant de voir qu’en 2016, 89% des interrogés ont identifié le mobile des attaques subies, contre 50% en 2015. Cela signifie que les entreprises accordent plus d’importance à l’investigation des incidents, mais également que leur connaissance de la sécurité et des risques s’améliore ! On ne se défend bien que contre ce que l’on connaît…Radware Security Report - coût

Les entreprises devraient donc savoir que la compromission d’un système a un coût… mais 73% des experts n’ont pas d’outils leur permettant de calculer l’impact d’une attaque. En Europe, zone où les prédictions sont les plus basses, c’est près de 80% des entreprises qui pensent qu’une attaque ne leur coûte pas plus de 250 000 dollars… Alors que le coût moyen identifié par les entreprises ayant réellement calculé l’impact d’un incident est de 1,1 million de dollars. Les attaques et leur impacts sont donc, malgré tout, largement sous-estimés…

C’est peut-être pour cela que seulement 40% des entreprises ont un plan de réponse formel aux incidents. Les experts en sécurité indiquent que leurs plus gros obstacles sont les manques de main-d’œuvre, d’expertise et de budget… Des investissements qui pourraient être justifiés en présentant le coût réel, et non pas sous-estimé, d’une attaque sur un système informatique !

Les conseils de Radware

La publication fournit des conseils pour vous accompagner dans l’implémentation de votre sécurité. Ainsi, pour préparer un plan de réponse à une attaque :

  • Cartographiez vos risques en pensant à tout
  • Comprenez l’impact, notamment financier
  • Priorisez les missions critiques
  • Choisissez votre équipe, si possible comprenant des expertises à la fois techniques, en sécurité et en piratage
  • Testez, révisez, adaptez

Et nous ajouterons… recommencez !

Pour choisir vos prestataires, Radware donne également deux critères importants à prendre en compte. Les protections proposées doivent être maintenues pour combattre les évolutions des menaces, et se mettre à jour pour protéger automatiquement les nouveautés ou modifications du système. Vos prestataires doivent aussi vous proposer des éléments à la fois de détection et de blocage.

De quoi sera fait 2017 ?

Finalement, les experts interrogés par Radware semblent plus pessimistes qu’en 2015 sur le futur de la sécurité. Ils sont deux fois plus nombreux à pense que le nombre d’attaques va augmenter de 30% ou plus. Radware se demande même si les belles années de la sécurité ne sont pas derrière nous…

L’entreprise de sécurité, comme à son habitude, présente quelques tendances qui devraient émerger en 2017. Des attaques par déni de service permanentes (PDoS), ciblant datacenters et opérations IoT, vont apparaître, et les attaques visant à couper les communications (Telephony DoS, ou TDoS) vont se sophistiquer et devenir plus importantes.

Les attaques avec demande de rançon, elles, ne vont pas s’arrêter, mais devenir encore plus segmentées et personnelles. Les pirates peuvent s’orienter vers le piratage des dispositifs médicaux et/ou militaires, ou bien vers le blocage des transports publics, pour rendre indispensable le paiement de la rançon et toucher un grand nombre de cibles.

Une sécurité plus intelligente…

Les nouvelles technologies et leurs nouveaux usages changent le visage de l’informatique. Nos protections doivent être de plus en plus intelligentes, et les entreprises comme les individus doivent prendre en main la sécurité de leurs systèmes. La sécurité informatique devient, de plus en plus, un sujet majeur pour les entreprises !

Lucie Saunois
 

Aucun commentaire