Qu’elles soient persistantes (APT, conçues pour contourner des mécanismes de défenses précis) ou par déni de service distribué (DDoS, visant à saturer des ressources en les bombardant de requêtes), les attaques informatiques sont encore globalement mal circonscrites… et tout simplement mal détectées par les entreprises du secteur de la vente au détail.
C’est l’un des principaux constats établis dans le rapport « Advanced Threats in Retail » (document PDF, 35 pages) réalisé par le Ponemon Institute pour le compte d’Arbor Networks (solutions de gestion et de protection des réseaux).
Capacité à mesurer l’efficacité des dispositifs de sécurité mis en place, niveau d’investissement dans la technologie et l’expertise… Plusieurs problématiques sont abordées dans cette étude conduite auprès de professionnels de l’IT en Amérique du Nord et dans 16 pays de la zone EMEA (Europe, Moyen-Orient, Afrique) dont la France.
Les 675 réponses sélectionnées émanent de techniciens, de responsables, voire de directeurs qui ont un point en commun : tous connaissent la stratégie cybersécurité de leur organisation et y sont impliqués sur un ou plusieurs plans. 19 % d’entre eux exercent dans une entreprise qui exploite le canal Internet tout en disposant d’au moins un magasin physique.
En faisant la moyenne des entreprises interrogées (des « petites PME » aux groupes de plus de 75 000 collaborateurs), on en arrive à environ une cyber-attaque sérieuse subie par mois. Dans la plupart des cas (74 %), il s’agit d’une APT (« Advanced Persistent Threat ») spécialement élaborée pour passer outre des pare-feu, des antivirus ou encore des systèmes de détection d’intrusions.
Globalement, on s’inquiète plus des APT (61 %) que du DDoS (53 %), jugé moins difficile à détecter et à circonscrire. Mais la différence entre les deux types d’attaques est encore régulièrement faite « au feeling ». Les entreprises s’appuient parfois sur l’analyse du comportement et des performances de leurs applications et systèmes. Elles recourent plus rarement à des données communiquées par des partenaires ou des clients.
En moyenne, 11 personnes sont impliquées pour répondre à un incident de sécurité. La piste la plus explorée lors des enquêtes (99 % des cas) est celle d’une attaque ciblée destinée à voler des données clients. L’éventualité d’un DDoS est très rarement exclue (98 %) ; moins en tout cas que les mauvaises manipulations d’un employé (83 %) ou d’un tiers externe à l’entreprise (69 %).
Le délai moyen pour détecter une APT s’élève à 197 jours. Et il faut 39 jours supplémentaires pour éliminer la menace. Ces valeurs sont respectivement de 39 et 18 jours pour les dénis de service distribués. Ce qui, dans l’absolu, laisse largement le temps aux cyber-criminels de commettre leur forfait. D’autant plus que les professionnels sondés ne sont que 29 % à estimer que cette réactivité s’améliorera dans les 12 prochains mois.
La mesure la plus adoptée face aux APT (42 % des répondants l’évoquent) consiste à mettre en place des outils de contrôle destinés à prévenir tout accès frauduleux. Dans 37 % des cas, on se concentre sur le deuxième rempart : la détection et le blocage des attaques en cours.
Les pourcentages sont similaires dans le cas du DDoS. Dans une moindre mesure, les entreprises acceptent de partager des informations de sécurité stratégiques avec d’autres sociétés, voire avec des organes gouvernementaux. Une ouverture mesurée, mais cruciale à l’heure où moins de la moitié d’entre elles considèrent disposer d’un personnel efficace pour lutter contre l’un et l’autre type d’attaque.
L’analyse du trafic réseau s’impose comme une priorité dans la lutte contre les APT. Suivent les technologies de type sandbox destinées à isoler les menaces, puis les solutions de protection des actifs numériques et les outils destinés à repérer les points faibles dans l’infrastructure IT. Quant aux budgets, ils sont alloués à 37 % au personnel interne, à 34 % aux technologies et à 24 % aux services managés. Sachant qu’au global, la sécurité représente environ 8 % des dépenses IT.
Le Ponemon Institute note que les entreprises du secteur de la finance sont plus agile pour détecter les APT. Il leur faut 98 jours en moyenne. Elles sont aussi plus confiante en leur capacité à réduire le temps nécessaire à cette identification.
Crédit image : kentoh – Shutterstock.com
Quelle part d’incertitude faut-il accepter dans la mise en conformité des IA avec le RGPD…
Microsoft a dévoilé les prix des mises à jour de sécurité étendues pour Windows 10.…
Docaposte a sélectionné une douzaine de spécialistes français pour créer un Pack cybersécurité spécialement étudié…
La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…
Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…
Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…