Selon une étude sur le marché de la cybersécurité conduite par le cabinet de conseil PricewaterhouseCoopers (PwC) le nombre de cyberattaques recensées contre les entreprises aurait augmenté de 38 % dans le monde en 2015. L’étude met en avant que le nombre de cyberattaques aurait progressé de 51 % en France au cours des 12 derniers mois avec 21 incidents par jour en 2015. Au niveau mondial comme en France, la source des menaces resterait majoritairement interne aux entreprises, les employés actuels constituant la principale source des compromissions de données.
Il ressort également de l’étude que la progression des menaces est externe et émanerait de fournisseurs et prestataires de service avec une augmentation de 32 % pour les premiers et 30 % pour les seconds. Cela serait dû aux entreprises qui travaillent de plus en plus en collaboration avec des partenaires externes, participant ainsi à l’expansion de la surface d’attaque.
La raison principale pour laquelle les cyberattaques auraient progressé de 51 % en France réside très certainement dans le fait que les organisations ne semblent toujours pas être en mesure de reconnaître les dangers liés aux attaques de l’intérieur, que les hackers soient à l’origine des employés ou externes à l’entreprise ; une fois à l’intérieur du système les attaques sont considérées comme venant de l’intérieur. Les résultats de cette étude font échos aux conclusions de nos récentes recherches démontrant que de nombreux DSI et dirigeants d’entreprises ne disposent pas de la visibilité suffisante sur leurs programmes de sécurité IT. Les cybercriminels sont persistants et élaborent continuellement différentes techniques pour tirer profit des vulnérabilités de sécurité et pénétrer dans le réseau afin de dérober et exploiter les identifiants des comptes administrateurs. Ces derniers leur permettront d’obtenir l’accès aux données les plus critiques d’une entreprise et faciliteront la prise de contrôle totale du réseau.
Dans le cadre d’attaques telles que celle perpétrée contre TV5 Monde par exemple, les pirates informatiques visent les comptes à privilèges qui permettent de prendre le contrôle de l’ensemble de l’infrastructure réseau en se faisant passer pour des utilisateurs légitimes. Ils s’installent ensuite insidieusement dans le système et dérobent autant d’informations que nécessaire par le biais de déplacements latéraux au cœur du réseau. Nous avons pu constater que le travail de sensibilisation autour de ces accès permet aujourd’hui à près de 61 % des personnes interrogées de considérer le détournement de ces comptes comme la phase d’attaque la plus difficile à contrer, contre 44 % il y a un an. Pourtant seulement 38 % considèrent que leur violation représente l’une des menaces les plus importantes, ce qui confirme la nécessité de renforcer la communication autour de l’importance de sécuriser le cœur du réseau.
En outre, quelle que soit l’étude conduite sur le marché, le constat est sans appel : les résultats sont en contradiction avec les mesures prises par les entreprises. Le niveau de sophistication des hackers et les mauvaises habitudes des employés restent en effet parmi les principaux facteurs de vulnérabilité cités la plupart du temps, mais ne peuvent être les seules raisons invoquées par les organisations pour justifier les attaques. La menace doit être envisagée de tous les côtés, et celle émanant de personnes tierces ne peut et ne doit pas être ignorée non plus. Il est essentiel que les organisations gardent en mémoire la volonté permanente des hackers de prendre le contrôle de leurs réseaux ; ils doivent donc envisager la sécurité de leur système au-delà du périmètre, et sécuriser le cœur de leurs réseaux afin de se prémunir contre des attaques plus sophistiquées et dangereuses telles que Kerberos, Pass-the-Hash ou encore le piratage de clés SSH pour ne citer qu’elles, et éviter des conséquences parfois irréversibles.
________
Jean-François Pruvot est directeur France chez CyberArk