Statistiques 2017 sur les attaques web, mobile, fuite de données…

Statistiques

 

 

Les cyberattaques ont régulièrement fait les titres des médias en 2017. Cela continue en 2018, des Jeux olympiques aux attaques record DDoS (pour ceux qui ont raté l’information : attaque memcached, en anglais). L’impression diffuse est qu’il y a de plus en plus de cyberattaques, et de plus en plus importantes. Mais concrètement, quelle est la situation actuelle ?

Nous avons regroupé des statistiques intéressantes de 2017 liées à la cybersécurité, en nous concentrant sur les données liées à notre spécialité : les tests d’intrusions sur les plateformes web, les applications mobiles et les objets connectés.

 

En un coup d’œil

Deux points majeurs sont à souligner :

  • 77 % des organisations dans le monde ont été victimes d’une (ou plus) cyberattaque réussie durant l’année 2017. (1)
  • En moyenne, les attaques sont détectées après plus de 6 mois (191 jours !) et corrigées en plus de deux mois (66 jours). (2)

 

La navigation internet n’est pas un long fleuve tranquille 

  • 1 URL sur 13 est utilisée à des fins malveillantes (3)
  • 5,8 % des adresses URL malveillantes sont liées à du phishing (3)
  • Les attaques contre les applications web ont augmenté de 10 % entre le 4e trimestre 2016 et le 4e trimestre 2017 (4)
  • 50 % des attaques d’applications web étaient des injections SQL au 4e trimestre 2017 (4).
  • Les malwares et les attaques web sont les attaques les plus coûteuses pour les victimes (5).
  • Pour les personnes en charge de la sécurité, leurs principales inquiétudes sont les malwares et le spear phishing (du phishing ciblant des personnes en particulier en utilisant des informations les concernant) (1)

 

Concentrons-nous sur les applications web

Le State of Software Security 2017 (6) nous apprend ainsi que

  • 77 % des applications web ont au moins une vulnérabilité lors du premier scan
  • 27,6 % des applications étaient affectées par des injections SQL
  • 83 % des organisations ont déjà publié du code avant de le tester ou avant de résoudre des problèmes de sécurité.

La publication d’applications web offre une surface d’attaque privilégiée pour un attaquant. En effet, cela peut exposer des données à accès restreint à des personnes malintentionnées. De multiples facteurs peuvent rendre vulnérable une application web : des services obsolètes, l’utilisation de mot de passes faibles, une faible gestion des droits des utilisateurs et de leur authentification, une faible vérification des données saisies par les utilisateurs…

Cela se retrouve dans les trois types d’attaques les plus courantes, qui sont :

  • l’utilisation d’identifiants dérobés,
  • des injections SQL,
  • des attaques « Brute force » (6).

Face à ces menaces, le Cyberthreat Defense Report (1) nous apprend que le top trois des technologies les plus utilisées pour protéger les applications et les données sont :

  • le Web Application Firewall : 66,1%
  • le Database firewall : 64,6 %
  • le chiffrement des données / la tokenisation : 56,9 %

83,4 % des organisations ont des difficultés à corriger les failles. Les raisons principales citées par les professionnels en charge de la sécurité sont les rares occasions de mettre le système de production hors-ligne pour corriger les failles (34,5 %) et le manque de personnel qualifié (33,8 %). Ces chargés de la sécurité perçoivent le développement d’applications et la réduction de la surface d’attaque comme les deux éléments où les organisations ont le moins de ressources adéquates pour les sécuriser. (1)

 

Attaques entraînant des fuites de données

Les applications web sont les cibles initiales dans 53 % des attaques entraînant des fuites de données (8). En regardant ces fuites de données d’un peu plus près, on remarque que :

  • 75 % d’entre elles sont commises par des attaquants externes à l’organisation (7)
  • 73 % des attaques sont commises pour des motifs financiers (7)
  • 43 % étaient des attaques d’ingénierie sociale (7) – d’où l’importance de sensibiliser les équipes
  • 27 % sont découvertes par des tiers (7).

Le 2017 Cost of Data Breach Study (2) nous précise  l’origine des attaques provoquant des fuites de données :

  • 47 % de ces attaques sont malveillantes ou criminelles,
  • 28 % sont dues à des erreurs systèmes,
  • 25 % sont dues à une erreur humaine.

Notez que 62 % des consommateurs attribueraient la responsabilité des pertes de leurs données personnelles à l’entreprise plutôt qu’aux attaquants. (9)

Cette statistique montre que l’image de marque d’une entreprise est impactée en cas de fuite de données. L’entrée en vigueur de la nouvelle réglementation RGPD ne fait qu’augmenter cette responsabilité (si ces quatre lettres ne vous parlent pas, faites un tour par ici).

 

QUID des applications mobiles ?

Seulement 20 % des appareils Android sont à jour, tandis que 77,3 % des appareils iOS utilisent la dernière version. (3) Le maintien à jour des téléphones mobiles et des applications permet d’assurer un certain niveau de sécurité et de corriger des failles connues. Cela devrait être une priorité pour tous à la vue de la criticité des données contenues dans nos téléphones mobiles (applications bancaires, emails, contacts, SMS, Facebook, LinkedIn, chat…). Ce faible pourcentage d’appareils à jour met en exergue une méconnaissance des risques ou un problème d’obsolescence matérielle.

Les appareils mobiles (smartphones, tablettes) et les containers d’applications sont ainsi les éléments pour lesquels les personnes en charge de la sécurité sont le moins confiantes pour leurs défenses. (1)

 

Objets connectés

Enfin, concernant les objets connectés (Internet of Thing – IoT), les attaques ont augmenté de 600 % en 2017, pour atteindre 50 000. (3)

Le Internet Security Threat Report (3) rapporte quels sont les services embarqués les plus ciblés :

  • Telnet : 50,5%
  • HTTP : 32,4 %
  • HTTPS : 7,7 %

Les deux types d’appareils les plus impliqués dans les attaques IoT sont :

  • Router : 33,6 %
  • DVR (Digital Video Recorder) : 23,2 % (3)

Enfin, les professionnels de la sécurité informatique déclarent comme les principaux obstacles à la cybersécurité le manque de personnel qualifié et une faible conscience des risques par les employés. (1)

Pour conclure, ces statistiques permettent de mieux se rendre compte des risques actuels. Il est nécessaire d’avoir une vision des risques potentiels de son activité afin de pouvoir les prévenir et de sensibiliser les utilisateurs aux bonnes pratiques.

Ces chiffres ne sont qu’un aperçu des statistiques liées à la cybersécurité, n’hésitez pas à aller consulter les rapports plus en détail.

 

 

PS : les sources sont classées dans leur ordre d’apparition.

(1) 2018 Cyberthreat Defense Report. Cyberedge Group. https://cyber-edge.com/wp-content/uploads/2018/03/CyberEdge-2018-CDR.pdf

(2) 2017 Cost of Data Breach Study. Ponemon Institute.  https://www-01.ibm.com/common/ssi/cgi-bin/ssialias?htmlfid=SEL03130WWEN

(3) Internet Security Threat Report – Volume 23/ March 2018. Symantec. https://www.symantec.com/security-center/threat-report

(4) State of the Internet / Security – Q4 2017 Report. Akamai. https://www.akamai.com/us/en/multimedia/documents/state-of-the-internet/q4-2017-state-of-the-internet-security-report.pdf

(5) 2017 Cost of Cyber Crime Study. Ponemon Institute. https://www.accenture.com/t20170926T072837Z__w__/us-en/_acnmedia/PDF-61/Accenture-2017-CostCyberCrimeStudy.pdf

(6) State of Software Security 2017. Veracode. https://info.veracode.com/report-state-of-software-security.html

(7) 2017 Data Breach Investigations Report. Verizon. http://www.verizonenterprise.com/verizon-insights-lab/dbir/2017/

(8) Threat Intelligence Report – Lessons Learned from a Decade of Data Breaches. F5 Labs. https://f5.com/Portals/1/PDF/labs/F5_Labs_Lessons_Learned_from_a_Decade_of_Data_Breaches_rev.pdf?ver=2017-12-11-093704-320

(9) RSA Data – Privacy & Security Report. RSA. https://www.rsa.com/content/dam/en/e-book/rsa-data-privacy-report.pdf