Sécurité < 3 min

Quelles sont les principales sources de menaces informatiques en 2018

Voici une synthèse des tendances et principales sources de menaces informatiques contre lesquelles toute entreprise doit absolument se prémunir.

Notre objectif est de vous aider à mieux comprendre les enjeux de sécurité d'aujourd'hui et prioriser les réponses à apporter aux risques réels que vous encourrez, au travers de chiffres clés issus de sources reconnues, qui traitent des grandes comme des plus petites entreprises de tous types d'activités.

Quelles sont les principales sources de menaces informatiques en 2018

Qui se trouve derrière les intrusions ?

Ces réponses prennent en compte les intrusions avérées suivies d'actions malveillantes.

1) les intrusions externes représentent toujours 75% des attaques
2) L'intervenant interne est associé à l'attaque dans un nombre significatif d'intrusions.

Quelles sont les techniques d'attaques privilégiées ?

Si l'origine des intrusions a peu changé depuis 10 ans, les techniques d'attaque ont en revanche beaucoup évolué sont en constante évolution.

Le top 2 du podium reste dominé par
1) le hacking direct
2) et l'envoi de malware (le fait de faire installer par une personne un code malveillant à son insu)

Et on constate en 3e position une augmentation forte du social engineering avec le phishing, l'attaque téléphonique avec usurpation d'identité dans le but d'agir sur le poste de travail, ou encore l'usurpation d'identité sur les réseaux sociaux.

Breach Frequency

De nombreuses attaques associent plusieurs techniques. On peut citer par exemple la stratégie d'un phishing menant à l'installation d'un malware en contournant les protections.
Les malwares s'appuient en effet aujourd'hui sur l'email dans 66% des cas, et ce malgré les évolutions fortes des antispams de dernières générations (qui incluent notamment de l'analyse d'URL).

What tactics de they use

Quels sont les vecteurs d'infection ?

Il s'agit essentiellement le volet mails, bien avant le navigateur.

Quels sont les vecteurs d'infection ?

Point critique, les applications exécutables ne sont plus le premier vecteur d'infection dans les emails : ce sont essentiellement des documents Office, des pièces jointes au format de documents bureautiques qui servent de vecteurs d'infection. Dès lors, il devient beaucoup plus difficile de s'en protéger : on ne peut pas définir une règle par défaut pour bloquer ces formats, très utilisés dans l'entreprise.

Les formats privilégiés sont le .doc juste après le .zip dans les extensions de fichiers, suivis par les fichiers java, xls et PDF.

Les solutions de protection des boites mail doivent donc devenir beaucoup plus intelligentes dans l'analyse de la provenance du mail : s'agit-il de zones de confiance ? d'IP connues ? le domaine est-il connu ? est-il bien protégé contre le phishing ? ... Une stratégie de défense consiste alors à définir ces niveaux de confiance en amont dès le serveur mail en complément d'une protection sur le poste de travail.

Formats infectés

Quelles catégories de malwares prédominent ?

Le ransomware reste dominant, suivi du cheval de Troie bancaire. Les vols d'information sont des techniques beaucoup plus ciblées sur une entreprise, une donnée particulière, mais ils représentent moins d'attaques en volume, là où le ransomware est une technique de masse. A noter que les ransomwares sont de moins en moins payés en crypto-monnaies et de plus en plus en dollars afin de faciliter le versement des rançons...

Une autre tendance forte est le mail de phishing d'arnaque au règlement envoyé aux équipes financières (ex de prétextes : paiement urgent d'un fournisseur par virement, changement de RIB d'un fournisseur), d'où la nécessité de sensibiliser ces métiers à la nécessité d'opérer des doubles vérifications.
On parle là de 5 milliards de dollars volés à fin 2016, en ne prenant en compte que les entreprises qui ont effectivement porté plainte...

Pertes

Une autre tendance forte associée au phishing : le typosquattage, c'est-à-dire la création d'un nom de domaine proche, par exemple par la permutation d'un caractère ou l'insertion d'un caractère supplémentaire.

Domaines

Le top du top en matière de typosquattage est le remplacement d'un I par un L, ou d'un U par un V, d'un O par un 0... D'où l'intérêt d'acheter ces noms de domaine alternatifs et approchants, ce qui représente une protection à moindre coût !

Typosquattage

Qu'en est-il de la gestion des mises à jour ?

Certains secteurs d'activité patchent rapidement, d'autres beaucoup plus lentement, et les mauvais élèves en la matière sont notamment le secteur public, et plus étonnant le secteur financier (par crainte des conséquences d'un plantage de son SI) !

Gestion des mises jour

Point positif : les entreprises se sont très nettement améliorées dans le temps sur leur gestion des mises à jour, et ce non seulement sur les logiciels Windows mais également les logiciels tiers. Prenons pour illustration les mises à jour flash player : on est passé de 292 jours à 62 jours de durée pour patcher 80% des vulnérabilités au sein d'une entreprise.

Il est en effet essentiel pour toute équipe informatique de mettre en place des solutions de gestion des mises à jour au sein de l'entreprise.

Patch

Et parce que charité bien ordonnée commence par soi-même...

Les populations IT sont parfois à l'origine de failles de sécurité importantes, avec deux cas de figure à citer :
- les équipes de développeurs déployant des versions tests de features (qui parfois passent en production) des développements sur des versions end of life voire déjà compromises, exposant ainsi les bases de données et autres données critiques de l'entreprise sur internet ;
- les administrateurs système qui quant à eux ont parfois tendance à ouvrir des ports plutôt qu'à passer par le VPN pour échanger avec les utilisateurs à distance.
Scanner de vulnérabilité des versions de MongoDB exposées sur internet :

Base de données

Il est donc essentiel de définir un juste compromis entre les enjeux d'agilité, la nécessité de déployer rapidement les innovations et la sécurité de l'entreprise.

Bien au-delà de la prochaine entrée en vigueur du RGPD le 25 mai prochain, la définition d'une politique de sécurité est plus que jamais au cœur des enjeux de tout responsable informatique.

Les sources d'information :
Verizon - Data Breach Investigation Report 2017
Cisco - Cybersecurity Report - Midyear 2017
ProofPoint - Threat Report - Q3 et Q4 2017
Rapid7 - Threat Report - Q2 et Q3 2017

Pour vous aider dans cette démarche de sécurisation, nos experts sécurité et réseaux vous proposent leur service afin de vous faire bénéficier de leur conseil et expertise.
Vous avez un projet RGPD ? Contactez-nous !

Alix - Infrastructure

Par Alix

Expert Infrastructure et SI

Tout projet Infrastructure est un projet unique. Je serai là pour vous accompagner à chaque étape afin de créer ensemble une Infrastructure parfaitement adaptée à vos besoins métiers.

Les articles qui peuvent vous interesser

POUR SUIVRE TOUTES NOS FICHES CONSEILS

Pour être au courant des derniers conseils de nos experts, inscrivez-vous à notre newsletter spéciale contenu.