Le récent rapport fourni par Verizon, “Data Breach Investigation Report – 2014”, nous donne de nombreuses informations utiles ainsi qu’une analyse claire des atteintes à la protection des données ayant eu lieu en 2013.
Il va sans dire qu’il s’agit d’un rapport, basé sur les informations qui ont pu être collectées auprès de diverses organisations, et que les chiffres ne reflètent pas exactement la réalité. Cependant si l’on observe la quantité et la variété des données collectées, les résultats peuvent être considérés comme très proches de cette réalité.

Un des points clé du rapport est que 94% des fuites de données (“data breaches”) ayant eu lieu en 2013 peuvent être classifiées suivant seulement 9 schémas. Et devinez quoi, le schéma d’attaque numéro 1, avec 35%, est l’attaque d’applications web. Les autres schémas sont : intrusion dans un point de vente, utilisation abusive d’un utilisateur interne, vol/perte physique, erreur diverse, logiciels malveillants, clonage de carte de crédit, attaque par déni de service, cyber-espionnage.

Si nous regardons l’évolution des choses dans le temps, il semble que malheureusement le vecteur attaques d’applications web est en croissance.

La raison pour laquelle les applications web sont le vecteur numéro 1 des attaques peut sembler évident : ces applications peuvent être ciblées depuis n’importe où, beaucoup d’entreprises en possèdent, et la majorité d’entre elles sont vulnérables.

Un autre point clé du rapport est la fréquence des schémas d’attaque par industrie.
Parce que toutes les industries ne s’appuient pas forcément sur des applications web pour leur business et parce que toutes les industries n’attirent pas autant les malfaiteurs que certaines autres, les applications web ne sont pas toujours le vecteur numéro 1 d’attaque.

Fréquence du vecteur attaque d'application web dans les incidents, par industry.
Fréquence du vecteur attaque d’application web dans les incidents, par industry.

Comme nous pouvons le voir ici, dans certaines industries les applications web sont impliquées dans plus d’un tiers des incidents rapportés, là où d’autres industries ne subissent pas d’attaque web.
Quelle est votre industrie?