Le 3 juillet 2023 - Contrairement aux idées reçues, la cible de cyberattaques sont souvent les PME. Aux États-Unis et au Royaume-Uni, elles représentent plus de 99% des entreprises, une majorité d'emplois dans le secteur privé et environ la moitié des revenus. Mais pour les responsables informatique ou les patrons de petites organisations, le défi c’est de faire plus avec moins.
Avec moins de ressources pour atténuer les cyber-risques, l'accent doit être mis sur la hiérarchisation efficace des cibles. Comme le révèle le récent rapport ESET SMB Digital Security Sentiment Report, 69 % des PME ont signalé une violation ou une forte indication de violation au cours des 12 derniers mois, soulignant la nécessité d'une action urgente.
Pour cela, il faut des données concrètes : où les attaquants concentrent-ils leurs efforts; qui sont-ils; réussissent-ils vraiment. Bien qu'il existe diverses sources d'informations, l'une des analyses les plus rigoureuses du paysage des menaces est le rapport annuel Verizon Data Breach Investigations Report (DBIR). Sa dernière édition est une mine d'or d'informations que les PME peuvent utiliser pour améliorer leur stratégie sécuritaire.
Où se situent les principales menaces de cyber-sécurité pour les entreprises?
Le DBIR 2023 est basé sur l'analyse de 16.312 incidents, dont 5.199, environ un tiers, ont été confirmés comme violations de données. Un des avantages de ces rapports, qui en sont maintenant à leur 16e année, est que les lecteurs peuvent évaluer les tendances actuelles par rapport aux modèles historiques. Qu’y a-t-il d’intéressant dans cette édition ?
Quelques points clés pour les PME :
• Les surfaces d'attaque convergent : malgré leurs nombreuses différences, selon Verizon les PME et les grandes entreprises se ressemblent de plus en plus. Elles utilisent toujours plus les mêmes infrastructures et services, tels que les logiciels basés cloud. Cela signifie que leurs surfaces d'attaque ont plus en commun qu’auparavant. En termes de facteurs tels que les types d'acteurs menaçants, les motivations et les schémas d'attaque, les auteurs du rapport admettent "qu'il y a si peu de différence en fonction de la taille de l'organisation que nous avions du mal à faire une distinction".
LECTURE CONNEXE: Toward the cutting edge: SMBs contemplating enterprise security
À titre d'exemple, les intrusions système, l'ingénierie sociale et les attaques d'applis Web de base représentent aujourd'hui 92 % des violations des PME, contre 85 % pour les entreprises comptant plus de 1 000 employés. De plus, 94 % des acteurs de la menace sont externes, contre 89 % dans les grandes organisations, et 98 % des violations sont motivées par des raisons financières contre 97 %.
• Les attaquants externes sont la plus grande menace : dans l'ensemble, les pirates tiers représentent aujourd'hui 83 % des violations, et 94 % des attaques des PME. Comparé à 19 % des violations globales où des acteurs internes étaient responsables, et à seulement 7 % pour les PME. 2 % des violations des PME peuvent être attribuées à des sources « multiples », ce qui, selon Verizon, signifie une combinaison d'internes, d'externes et de partenaires travaillant en collusion. Mais pour les petites entreprises, le risque interne global est minime.
• La motivation financière est numéro un: 95 % des violations sont motivées par des raisons financières, ce pourcentage atteint 98 % pour les attaques de PME. Cela démontre que le crime organisé, par opposition aux États-nations, est la principale menace pour les PME. L'espionnage ne représente que 1 % des violations des PME.
• Les humains sont le maillon le plus faible: la principale méthode pour entrer dans les réseaux de victimes est le vol d'identifiants (49 %), suivi du phishing (12 %) et de l'exploitation des vulnérabilités (5 %). Cela indique que les employés sont réellement un maillon faible dans la chaîne de sécurité. Ils jouent un rôle dans 74 % des violations. Cela peut être dû à l'utilisation d'informations d'identification volées et au phishing, ou à d'autres méthodes telles qu'une mauvaise configuration données sensibles. Cela correspond aussi au rapport 2022 ESET SMB Digital Security Sentiment Report, qui constate que le manque de cyber-sensibilisation des employés (84 %) est le principal facteur de risque.
• Doublement de la compromission des e-mails professionnels (BEC- Business email compromise) : le nombre de « faux-semblant » (qui, selon Verizon, s'apparente au BEC) a doublé depuis le précédent DBIR. Le faux-semblant devient donc une menace plus importante que le phishing, bien que ce dernier soit plus répandu dans les violations de données réelles. Dans le BEC, la victime est amenée à virer de grosses sommes sur un compte bancaire contrôlé par l'attaquant. Cette fraude est un autre signe de l'importance du facteur humain dans les attaques. Bien qu'il n'y ait pas de statistiques spécifiques concernant les PME, le montant moyen volé via BEC est passé à 50 000 $.
• Les rançongiciels restent une menace majeure dont les coûts augmentent : les rançongiciels sont désormais présents dans 24 % des violations, suite à des tactiques de double extorsion, ce qui signifient que les données sont volées avant d'être cryptées. Cela a peu changé depuis l'année dernière, mais Verizon avertit que la menace "est omniprésente parmi les organisations de toutes tailles et dans tous les secteurs". Les coûts moyens ont plus que doublé pour atteindre 26 000 $, et c’est probablement une sous-estimation.
• Les intrusions système sont les principaux types d'attaques : les trois principaux types d'attaques pour les violations des PME sont les intrusions système, l'ingénierie sociale et les attaques d'applis Web de base. Ensemble, elles représentent 92 % des infractions. L'intrusion système fait référence à des "attaques complexes qui exploitent des maliciels et/ou le piratage pour atteindre leurs objectifs", y compris les rançongiciels.
Utiliser le DBIR pour renforcer la cyber-sécurité
Voici quelques ‘contrôles de bonnes pratiques’ qui peuvent aider à atténuer les attaques par intrusion dans le système :
• Des programmes de sensibilisation et de formation à la sécurité conçus pour atténuer diverses menaces, y compris l’interne.
• Processus de récupération de données pouvant aider suite à des attaques de rançongiciels.
• Gestion du contrôle d'accès, y compris les processus et outils pour créer, attribuer, gérer et révoquer les informations d'identification et les privilèges d'accès. Cela peut inclure l'authentification multifacteur (MFA).
• Gestion de la réponse aux incidents pour détecter et répondre rapidement aux attaques.
• Sécurité des logiciels d'application pour prévenir, détecter et corriger les failles logicielles.
• Tests de pénétration conçus pour améliorer la résilience.
• Gestion des vulnérabilités pour atténuer d'autres types de menaces telles que les attaques d'applis Web.
• Détection et réponse aux terminaux (EDR), détection et réponse étendues (XDR) ou détection et réponse gérées (MDR), que 32 % des PME utilisent et que 33 % comptent utiliser au cours des 12 prochains mois, selon ESET.
Ceci n’est pas une liste exhaustive. Mais c'est un début et un début c'est souvent la moitié du travail.
Pour en savoir plus sur les perceptions des PME en matière de cyber-sécurité, y compris leurs besoins croissant en matière de sécurité, lisez le 2022 ESET SMB Digital Security Sentiment Report.
https://www.verizon.com/business/resources/T6c/reports/2023-data-breach-investigations-report-dbir.pdf
https://www.welivesecurity.com/wp-content/uploads/2022/11/eset_smb_digital_security_sentiment_report.pdf
A propos d’ESET
Depuis plus de 30 ans, ESET® développe des logiciels et des services de sécurité informatique de pointe pour protéger les entreprises, les infrastructures critiques et les consommateurs du monde entier contre les menaces numériques toujours plus sophistiquées. De la sécurité des terminaux et des mobiles à l'EDR en passant par le chiffrement, l'authentification à double facteur, les solutions légères et performantes d'ESET protègent et surveillent 24/7, mettant à jour, en temps réel, les défenses afin d’assurer sans interruption la sécurité des utilisateurs et des entreprises. L'évolution constante des menaces nécessite un fournisseur de sécurité informatique évolutif qui permet d’utiliser la technologie de façon sûre. Ceci est supporté par les centres de R&D d'ESET dans le monde entier, travaillant à soutenir notre avenir commun. Pour plus d’information visitez
www.eset.com , ou suivez-nous sur LinkedIn, Facebook, Instagram et
https://www.eset.com/be-fr/