Nous avons l'habitude de dire que le SI des entreprises s'est complexifié au fil des ans, que ce soit vers l'interne avec l'ajout de nouvelles DMZ, de liens pour les sauvegardes, d' accès nomades... ou vers l'externe avec l'ouverture de tout ou partie du SI aux divers partenaires, fournisseurs et même consommateurs.
Cette complexité est à elle seule un facteur de risque pour l'entreprise. Mais cette ouverture vers l'extérieur en est un autre. Un rapport de la société Verizon permet de mieux appréhender ce fait. Le rapport est fondé sur les données collectées dans plus de 500 cas, traités par Verizon entre 2004 et 2007.
Afin d'expliciter au mieux les résultats du rapport, il est bon de rappeler que l'évaluation du risque est la combinaison de la probabilité que le "sinistre" soit avéré et de son impact. Ainsi :
- L'externe constitue la plus grosse menace (73%), mais avec le plus faible impact (30 000 occurrences), ce qui amène à un Pseudo Risque évalué à 21 900;
- L'interne constitue la plus faible menace (18%), avec le plus gros impact (375 000 occurrences), conduisant à un Pseudo Risque évalué à 67 500;
- Enfin les partenaires sont au milieu (39% et 187 500), induisant le plus fort Pseudo Risque, soit 73 125.
En 2003, seules 8% des attaques documentées par Verizon avaient ce profil, contre 44% en 2007. Il est fort vraisemblable que cette tendance continue de croître.
Entre autres découvertes significatives, on peut noter :
- 3/4 des attaques (ayant conduit à un incident de sécurité) ne sont pas découvertes par les victimes,
- Les attaques ne requièrent pas beaucoup de technicité pour être mises en oeuvre,
- 85% des attaques sont opportunistes, plutôt que ciblées,
- 87% auraient pu être évitées par des mesures "raisonnables", que chaque entreprise aurait été à même de mettre en place.
Afin de mettre les entreprises sur la bonne voie, il convient de recommander principalement le monitoring des systèmes, la revue de journaux et la mise en place de processus permettant de faire face rapidement à des problèmes de sécurité dès lors qu'ils sont signalés.
On peut s'étonner que la gestion des correctifs de sécurité ne fasse pas partie de la liste. En effet, seuls 22% des cas étaient liés à l'exploitation d'une vulnérabilité, dont 80% étaient connues et disposaient d'un correctif au moment de l'attaque. En d'autres termes, 78% des attaques couvertes dans le rapport auraient quand même abouti si les systèmes avaient été patchés convenablement.
Edit de l'équipe Orange Business : Christophe a quitté le groupe Orange depuis ses derniers articles