Le rapport de Verizon intitulé “Data Breach Investigation Report 2015” (DBIR) est le résultat d’une analyse représentant environ de 80 000 incidents de sécurité, dans 61 pays différents.
Sans surprise, les attaques d’applications web sont un sujet important de ce rapport, et les statistiques qui en ressortent sont d’un intérêt particulier.

Etant spécialisés en sécurité des applications web, nous avons extrait et rassemblé dans cet article les informations directement liées aux attaques web.

Attention : Les chiffres qui suivent sont essentiellement en relation avec les incidents de sécurité de type fuite de données, et n’offrent donc pas une vue globale sur les attaques d’applications web. Les autres risques tels que la dégradation d’image de marque ou la continuité de service ne sont abordés ici.

Un premier fait très intéressant concerne les attaques web “stratégiques” : Une attaque web stratégique peut être considérée comme une première étape au sein d’une cyber-attaque globale. L’attaquant utilise le site web comme un moyen pour propager des malwares, en espérant que la cible finale sera infectée, afin de continuer avec les étapes suivantes de l’attaque.
Cela signifie que le site web n’est pas nécessairement la cible finale, mais une victime collatérale ou secondaire.
Les statistiques montrent qu’il existe une victime secondaire dans 70% des attaques pour lesquelles le facteur motivant l’attaque est connu.

statistiques attaques web illustration

Le rôle des attaques d’applications web

4,1% des incidents de sécurité sont le résultat d’une attaque d’application web (site web, application saas, application mobile…). Quant aux incidents avec une fuite de données confirmée, la proportion grimpe à 9,4%.
En conclusion, les attaques d’applications web sont efficaces !

Une autre conclusion du rapport, toujours en termes de classification d’incidents, est que les attaques web restent assez stables en proportion au fil du temps.

Les types d’attaquant sur le web

En observant les types d’attaquants, il ressort que 61% des fuites de données causées par des activistes (motivés par des raisons politiques ou idéologiques) sont réalisées via des attaques d’applications web.
A titre de comparaison, il s’agit de 22% pour les fuites de données provenant d’attaquants “non-affiliés”, 20% pour celles provenant d’organisations criminelles, et 3% pour celles provenant des Etats.

En 2014, les organisations criminelles sont devenues les principales responsables des attaques web. Et sans surprise, le premier facteur de motivation de ces attaques est d’ordre financier.

Les victimes des attaques d’applications web

La classification des victimes en fonction de leur secteur d’activité est également intéressante. Il en ressort que 35% des fuites de données affectant le secteur des médias sont réalisées via des attaques web.

Voici les chiffres correspondant aux autres secteurs :

  • Services financiers : 31%
  • Administrations : 18%
  • Education : 9%
  • Santé : 9%
  • Autre domaines : 8%
  • Divertissement : 7%
  • Secteur public : 6%
  • Retail : 5%
  • Professionnels : 4%
  • Secteur manufacturier : 1%
  • Hébergement : 1%

Les principaux types d’attaques sur les applications web

Sur un plan plus technique, les types de piratages effectués sur des applications web peuvent être classifiés ainsi :

  • Utilisation d’identifiants volés : 50,7%
  • Utilisation de backdoors : 40,5%
  • Injections SQL : 19%
  • Inclusion de fichiers distants (RFI) : 8,3%
  • Abus de fonctionnalités : 8,3%
  • Brute-force : 6,8%
  • XSS : 6,3%
  • Path traversal : 3,4%
  • Navigation forcée : 2%
  • Commandes systèmes : 1,5%

Afin de rendre ces informations plus lisibles, vous pouvez consulter cette infographie :

Infographie - Impact des attaques d'applications web dans les fuites de données
Infographie – Impact des attaques d’applications web dans les fuites de données

Pour obtenir le rapport complet de Verizon : http://www.verizonenterprise.com/DBIR/2015/