Sécurité : les attaques ciblées vont se renforcer en 2006

Cloud
Information - news

Selon IBM, la baisse du nombre des attaques est un leurre. Alors que la professionnalisation des assauts est réelle.

« Il ne faut pas se laisser influencer par la baisse du nombre des cyber-attaques car les attaques ciblées vont progresser en 2006. » Pour Michel Bobilliers, responsable sécurité chez IBM au niveau mondial, les attaques informatiques se professionnalisent et les gains financiers restent la principale motivation des cyber-attaquants.

Telle est la tendance observée en 2005 à partir du Global Business Security Index Report, un index annuel créé par IBM à partir de l’analyse d’attaques de 3 000 de ses clients (dont 2 700 professionnels de la sécurité). Il en ressort que, outre les 100 millions de tentatives d’attaques constatées mensuellement, le nombre global de spam (courrier électronique indésirable) et de virus qu’ils véhiculent est en baisse. En 2005, selon IBM, le nombre de spam comptait pour 68 % des e-mails dans le monde contre 72 % en 2004.

Le nombre de virus dans les courriels est, lui aussi, en baisse significative à l’échelle mondiale. Si en 2004, IBM dénombrait 6,1 % de courriers électroniques infectieux, ce chiffre tombe à 2,8 % en 2005. En revanche, le nombre de tentatives d’attaques par phishing (qui consiste à amener un utilisateur à divulguer des informations confidentielles en lui faisant croire qu’il se trouve sur un site familier) ont été multipliées par trois. En 2005, 1 courrier électronique sur 304 cachait une tentative de phishing contre 1 sur 943 l’année précédente.

Apparition du phishing professionnel

De plus, les e-mails à vocation d’hameçonnage se spécialisent selon leur cible. Ainsi est apparu le spear phishing dont les courriels prennent la forme d’une note interne à une entreprise invitant leurs destinataires à divulguer des informations confidentielles qui permettront ensuite de pénétrer les systèmes informatiques.

« Les attaques ont tendance à se diriger sur le maillon faible de l’entreprise, qui n’est plus le serveur ou le poste client, mais l’individu », analyse Michel Bobilliers, « l’individu en tant que victime ou acteur. » Outre les techniques de manipulation de l’individu, celui-ci est aussi le vecteur des failles du système d’information de l’entreprise. « Les entreprises sont confrontées aux problèmes de fuites d’information de l’intérieur que ce soit le personnel, les stagiaires, les intérimaires, les prestataires », ajoute Cyrille Nicolas, responsable sécurité chez IBM pour la France et l’Afrique.

Un risque de fuite renforcé par le développement de nouvelles applications. Des blogs à la messagerie instantanée en passant par la voix sur IP et les technologies mobiles, « toutes ces nouvelles applications créent de nouvelles opportunités pour les attaquants », estime Michel Bobilliers. Même un objet aussi passe-partout que l’iPod peut se transformer en outil d’espionnage en tant que support de stockage d’informations volées. Informations qui peuvent se monnayer auprès de la concurrence ou des pirates professionnels.

La sécurité comme fonction classique

Pour faire face à l’ensemble des risques, les entreprises doivent repenser leur modèle de sécurité. « La sécurité n’est plus la réponse à une situation anxiogène », avance Cyrille Nicolas, « la sécurité doit être pensée comme un moyen de faciliter le développement de l’accès à l’information et permettre le développement de l’entreprise. » Pour cela, il faut « penser la sécurité au moment de la mise en place du système d’information et non après comme des patches de sécurisation ».

Dans cet esprit, la sécurité doit être pensée de façon globale, tant dans le système informatique que dans la gestion des bâtiments (accès, suivi de l’information en cas de catastrophe…). « La sécurité doit être piloté comme une fonction classique de l’entreprise et non comme un composant technologique. » Y compris, et surtout, à travers les risques des fuites internes.

En 2005, le coût de prévoyance (autrement dit le marché pour les prestataires de sécurité informatique) s’élevait à 1 milliard de dollars. IBM, qui n’a pas cherché à chiffrer les impacts économiques des cyber-attaques, estime cependant que, à elles seules, les infections virales ont coûté « plusieurs milliards » de dollars aux entreprises.