Spécialisé dans la détection des cybermenaces, Gatewatcher vient de publier une étude qui souligne la prise de conscience des entreprises au sujet des Advanced Persistent Threats – APT. Et aussi, leurs difficultés à faire face à ce type d’attaques.

Menée par le cabinet Vanson Bourne auprès de 300 décideurs informatiques au Royaume-Uni, en France et en Allemagne pour Gatewatcher, une étude a recensé les six risques cyber majeurs encourus par les entreprises.

Sans surprise, cette liste comprend bien évidemment :

1/ pour 54% des décideurs interrogés : les attaques par des hackers, hacktivistes ou « script kiddies », autrement dit par des individus,
2/ pour 51% des décideurs interrogés : la perte de données,
3/ pour 47% des décideurs interrogés : les ransomwares,
4/ pour 38% des décideurs interrogés : les menaces élaborées ou commanditées par les Etats-Nations,
5/ pour 34% des décideurs interrogés : l’espionnage industriel,
6/ pour 28% des décideurs interrogés : les menaces internes.

On remarquera que l’ordre de priorité des menaces pour les décideurs (qui s’appuie davantage sur un ressenti et un ordre d’inquiétude) ne reflète pas forcément l’ordre des palmarès de menaces établis par les éditeurs de solutions de cybersécurité ou par certains organismes de surveillance de l’écosystème de menaces.

De même, les rapporteurs notent que « l’échelle du risque n’est pas perçue de la même manière en France, en Allemagne et au Royaume-Uni. En France, la perte de données arrive en tête des préoccupations (65 %), tandis que la menace générée par les hackers indépendants se place en première position en Allemagne et au Royaume-Uni (respectivement 62 % et 52 %) « .

APT, menaces encore trop invisibles…

Toutefois, l’intérêt principal de l’étude est de faire un zoom sur les attaques APT (Advanced Persistant Threat). Ces « menaces persistantes avancées » se traduisent par des attaques intelligentes et furtives qui sont patientes, répétées, intelligentes, et ciblées. Pour les rapporteurs,  » elles se situent aux antipodes du piratage d’un compte Twitter ou d’une tentative d’escroquerie numérique visant à s’emparer des données d’un utilisateur « . Au Royaume-Uni, en France et en Allemagne, 93% des entreprises interrogées ont actuellement entrepris des efforts en faveur de la détection et de l’identification des menaces APT.

Même si le sujet est rarement évoqué, les menaces APT n’ont cessé d’évoluer ces dernières années. Une évolution qui a par ailleurs favorisé l’émergence d’un écosystème qui rétribue des criminels capables de faire preuve de patience, de perspicacité et de logique.

Problème, les entreprises ont particulièrement du mal à identifier ce type d’attaques. Constat similaire pour repérer les vecteurs d’entrée de ces attaques. Interrogés sur les facteurs de risques pouvant favoriser les APT, près de la moitié des décideurs informatiques (47%) soulignent le manque de visibilité sur l’ensemble des menaces dissimulées au cœur du réseau informatique. Le déficit de compétences au sein des équipes de sécurité constitue le second frein (40 %) dans la lutte contre ces menaces. On notera également que la lutte contre les APT est, pour le moment, d’abord un effort mené par des équipes en interne : seulement une entreprise sur cinq externalise actuellement sa protection face à ce type de risques auprès d’un fournisseur de services (MSP).

L’étude liste ensuite les mesures techniques les plus efficaces pour contrer ce type d’intrusion. La détection et la réponse des points d’accès (EDR) reste la solution plébiscitée par près de deux tiers des entreprises. Viennent ensuite les firewalls et les SIEM. L’étude met également en avant les solutions de Network Detection and Response (NDR) comme celle de Gatewatcher. L’éditeur profitant bien évidemment de l’étude pour rappeler que, justement, ce type d’outil apporte une meilleure visibilité sur les comportements suspects dissimulés au cœur du réseau.

Pour faire face aux menaces APT, les rapporteurs estiment au final que « le secteur de la cybersécurité doit apporter une réponse qui, conjuguant une visibilité augmentée, une présence accrue sur l’ensemble du réseau et une démarche plus prudente et approfondie, permet la détection précoce des premiers signes d’attaques d’envergure et prolongées dans le temps« . On en attend pas moins, c’est sûr.