Statistiques cybers\u00e9curit\u00e9 web, mobile, IoT, ing\u00e9nierie sociale 2021 : quel est l\u2019\u00e9tat des lieux ?<\/strong><\/h2>\n\n\n\nStatistiques cybers\u00e9curit\u00e9 et sur le co\u00fbt des fuites de donn\u00e9es<\/strong><\/h3>\n\n\n\nL\u2019impression g\u00e9n\u00e9rale est que les cyberattaques augmentent, mais qu\u2019en est-il vraiment\u2009?<\/p>\n\n\n\n
Selon le Cyberedge Report[1]<\/sup><\/a>, 86 % des organisations ont \u00e9t\u00e9 victimes d\u2019au moins une cyberattaque r\u00e9ussie en 2020. Plus de 4 entreprises\u2009sur 5 !<\/p>\n\n\n\nLors de la premi\u00e8re \u00e9dition du rapport, en 2014, \u00ab\u2009seulement\u2009\u00bb 62 % avaient subi une attaque r\u00e9ussie, soit une augmentation de 24 points en 8 ans. L\u2019augmentation des attaques r\u00e9ussies est impressionnante.<\/p>\n\n\n\n\n\n
Quel est le co\u00fbt d\u2019une fuite de donn\u00e9es\u2009?<\/strong><\/h4>\n\n\n\nQui dit cyberattaques, dit souvent fuites de donn\u00e9es. Elles sont identifi\u00e9es en moyenne en 212 jours (soit 7 mois) et contenues en 75 jours, nous apprend le Cost of Data Breach Report[2]<\/sup><\/a>. Il pr\u00e9cise que 44 % des fuites de donn\u00e9es contiennent des informations personnelles identifiables.<\/p>\n\n\n\nLes principaux vecteurs d\u2019attaques initiaux lors de fuites de donn\u00e9es sont : des identifiants compromis dans 20 % des cas, du phishing dans 17 % des cas, des mauvaises configurations cloud dans 15 % des cas.<\/p>\n\n\n\n
Le co\u00fbt moyen d\u2019une fuite de donn\u00e9es s\u2019\u00e9l\u00e8ve \u00e0 $4,24 millions. Les co\u00fbts d\u2019une fuite sont li\u00e9s \u00e0 plusieurs aspects :<\/p>\n\n\n\n
- perte de business : 38 %,<\/li>
- d\u00e9tecter et remonter l\u2019attaque : 29 % des co\u00fbts (les actions pour d\u00e9tecter et remonter \u00e0 l\u2019origine de l\u2019attaque),<\/li>
- r\u00e9ponse post attaque : 27 % des co\u00fbts (les actions de r\u00e9paration pour les victimes et les r\u00e9gulateurs),<\/li>
- notifier : 6 % des co\u00fbts.<\/li><\/ul>\n\n\n\n
Des actions ont d\u00e9montr\u00e9 leur efficacit\u00e9 pour faire baisser le co\u00fbt d\u2019une fuite de donn\u00e9es. Le moyen le plus efficace est de tester le plan de r\u00e9ponse (-7,7 %). D\u2019autres mesures sont la gestion de la continuit\u00e9 d\u2019activit\u00e9 (-7,2 %), des tests red team (-6,3 %), la formation du personnel (-6,2 %), des tests de vuln\u00e9rabilit\u00e9s (-4,5 %)\u2026[3]<\/sup><\/a><\/p>\n\n\n\nLe pentest fait en effet partie des outils les plus efficaces pour r\u00e9duire l\u2019impact des cyberattaques, car il s\u2019agit de simuler une attaque en utilisant les m\u00eames outils et techniques qu\u2019un attaquant malveillant.<\/p>\n\n\n\n
![\"Statistiques](\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2021\/09\/Statistiques-cyberattaques-fuites-donne\u0301es.png\")
<\/a>Cliquez pour t\u00e9l\u00e9charger l’infographie compl\u00e8te<\/a><\/em><\/figcaption><\/figure><\/div>\n\n\n\n\n\nFocus sur la cybers\u00e9curit\u00e9 des PME<\/strong><\/h4>\n\n\n\nLes PME et ETI font face elles aussi \u00e0 de nombreuses menaces. Le DBIR[4]<\/sup><\/a> a cat\u00e9goris\u00e9 le type d\u2019attaques les plus fr\u00e9quentes selon les tailles d\u2019organisations. Ainsi, les intrusions dans le syst\u00e8me (attaques n\u00e9cessitant plusieurs \u00e9tapes, avec d\u00e9placement dans l\u2019environnement), les erreurs et les attaques basiques contre les applications web repr\u00e9sentent pour les PME 80 % des types d\u2019attaques menant \u00e0 des fuites de donn\u00e9es et 74 % pour les grandes entreprises.<\/p>\n\n\n\nLes attaques contre les PME ont pour objectif principal le gain financier, dans 93 % des cas.<\/p>\n\n\n\n
Les PME font face \u00e0 des attaques externes, mais \u00e9galement \u00e0 la menace interne<\/a>, qui sont \u00e0 l\u2019origine de 44 % des attaques.<\/p>\n\n\n\n\n\nDes comportements \u00e0 risque pour la gestion des mots de passe ou des secrets<\/strong><\/h4>\n\n\n\nQu\u2019elles soient dans de petites ou tr\u00e8s grandes entreprises, certaines personnes continuent g\u00e9rer leurs mots de passe ou des secrets de mani\u00e8re non s\u00e9curis\u00e9e.<\/p>\n\n\n\n
Un tiers des personnes sond\u00e9es admettent utiliser le nom de leur employeur dans un mot de passe li\u00e9 au travail. 1\/3 utilisent le nom ou l\u2019anniversaire de leur conjoint, 1\/3 utilisent le nom ou l\u2019anniversaire de leur enfant [5]<\/sup><\/a>.<\/p>\n\n\n\n54 % utilisent un m\u00eame mot de passe sur de multiples comptes professionnels [6]<\/sup><\/a>.<\/p>\n\n\n\nConcernant la gestion des secrets, la situation est tout autant d\u00e9licate. 80 % des entreprises interrog\u00e9es par 1Password[7]<\/sup><\/a> admettent ne pas bien g\u00e9rer leurs secrets.<\/p>\n\n\n\nPar exemple, 48 % des entreprises utilisent un document partag\u00e9 ou un spreadsheet, avec un acc\u00e8s restreint ou non, pour stocker et g\u00e9rer leurs secrets d\u2019entreprises.<\/p>\n\n\n\n
77 % des anciens employ\u00e9s IT\/DevOps ont encore acc\u00e8s aux secrets d\u2019infrastructure de leur ex-entreprise.<\/p>\n\n\n\n
Enfin, la pand\u00e9mie Covid-19 a conduit \u00e0 un m\u00e9lange des usages sur les appareils professionnels comme personnels. En effet, 42 % des personnes interrog\u00e9es utilisent tous les jours leur appareil professionnel pour des raisons personnelles lorsqu\u2019elles sont en t\u00e9l\u00e9travail [6]<\/sup><\/a>.<\/p>\n\n\n\n\n\nFace aux attaques ransomware : les statistiques cl\u00e9s<\/strong><\/h3>\n\n\n\n69 % des entreprises ont \u00e9t\u00e9 victimes d\u2019un ransomware l\u2019ann\u00e9e pass\u00e9e [1]<\/sup><\/a>. Le rapport Cyberedge nous enseigne aussi que plus de la moiti\u00e9 des soci\u00e9t\u00e9s (57 %) payent pour r\u00e9cup\u00e9rer leurs donn\u00e9es.<\/p>\n\n\n\nUn cercle vicieux s\u2019est mis en place : de plus en plus, lorsque la demande de ran\u00e7on est r\u00e9gl\u00e9e, les donn\u00e9es sont r\u00e9cup\u00e9r\u00e9es (72 % des cas en 2021 \u2014 par rapport \u00e0 49 % en 2018). Les entreprises sont donc de plus en plus tent\u00e9es de payer la ran\u00e7on, car elles voient que cela permet de r\u00e9cup\u00e9rer les donn\u00e9es chiffr\u00e9es. Le paiement des ran\u00e7ons alimente le business des cybercriminels, qui continuent \u00e0 mener ces attaques, ce qui entraine de nouvelles victimes, qui seront tent\u00e9es de payer la ran\u00e7on pour r\u00e9cup\u00e9rer leurs donn\u00e9es, etc. etc.<\/p>\n\n\n\n
Cependant, parmi celles qui ont pay\u00e9 pour r\u00e9cup\u00e9rer leurs donn\u00e9es, 46 % avaient certains fichiers r\u00e9cup\u00e9r\u00e9s corrompus [8]<\/sup><\/a>.<\/p>\n\n\n\nEt double peine, 80 % des entreprises qui ont pay\u00e9 une ran\u00e7on d\u00e9clarent avoir subi une seconde attaque ransomware. Dans 46 % des cas, les victimes pensent qu\u2019il s\u2019agit des m\u00eames attaquants [8]<\/sup><\/a>.<\/p>\n\n\n\nFace \u00e0 la mont\u00e9e des attaques ransomware, les assureurs ont d\u00e9velopp\u00e9 des cyberassurances. Ces assurances sont principalement utilis\u00e9es pour moiti\u00e9 pour couvrir les frais de consulting et des services l\u00e9gaux tiers. Dans 36 % des cas, l\u2019assurance sert \u00e0 couvrir les frais de restitutions aux victimes. Seuls 10 % des organisations ont utilis\u00e9 leur assurance pour couvrir le co\u00fbt de la ran\u00e7on [4]<\/sup><\/a>.<\/p>\n\n\n\n![\"Statistiques](\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2021\/09\/Statistiques-ransomware.png\")
<\/a>Cliquez pour t\u00e9l\u00e9charger l’infographie compl\u00e8te<\/a><\/em><\/figcaption><\/figure><\/div>\n\n\n\n\n\nStatistiques li\u00e9es aux attaques sur les applications web et mobiles<\/strong><\/h3>\n\n\n\nLe web et le mobile ne sont pas \u00e9pargn\u00e9s par les cyberattaques : 98 % des organisations ont report\u00e9 des attaques ciblant leurs applications web et mobiles [9]<\/sup><\/a>.<\/p>\n\n\n\nConcernant les applications mobiles, 42 % des organisations disent d\u2019ailleurs n\u2019avoir qu\u2019une s\u00e9curit\u00e9 bricol\u00e9e, voire pas de s\u00e9curit\u00e9 (22 %).<\/p>\n\n\n\n
Les attaques les plus fr\u00e9quentes sur les applications et\/ou serveurs web sont :<\/p>\n\n\n\n
- Les attaques DoS, report\u00e9es par 89 % des organisations,<\/li>
- Les attaques d\u2019injections, report\u00e9es par 85 % des organisations,<\/li>
- Les manipulations d\u2019API, report\u00e9es par 84 % des organisations,<\/li>
- Les attaques de bots, report\u00e9es par 82 % des organisations.<\/li><\/ul>\n\n\n\n
Cela se confirme lorsqu\u2019on regarde le 2021 CWE Top 25<\/a>. Ce classement nomme les types de vuln\u00e9rabilit\u00e9s les plus fr\u00e9quemment rencontr\u00e9es. Dans le top 3, nous retrouvons l\u2019\u00e9criture hors limite (Out-of-bounds write), les failles Cross-Site-Scripting (XSS) et la validation incorrecte des entr\u00e9es (Improper Input Validation).<\/p>\n\n\n\nLes attaques les plus fr\u00e9quentes sur les APIs sont quant \u00e0 elles [9]<\/sup><\/a> :<\/p>\n\n\n\n- Les attaques DoS \u00e9galement, report\u00e9es par 87 % des organisations,<\/li>
- Les attaques d\u2019injections, 80 %,<\/li>
- Les violations d\u2019acc\u00e8s et le brute force\/le credential stuffing (bourrage d\u2019identifiants), 74 %.<\/li><\/ul>\n\n\n\n
Pour faciliter le d\u00e9veloppement, les \u00e9quipes s\u2019appuient sur des librairies tierces. Cependant, dans 79 % des cas, ces librairies ne sont jamais mises \u00e0 jour une fois int\u00e9gr\u00e9es dans le code, alors que 92 % des vuln\u00e9rabilit\u00e9s dans les librairies peuvent \u00eatre rem\u00e9di\u00e9es par une mise \u00e0 jour [10]<\/sup><\/a>.<\/p>\n\n\n\nLes applications web et mobiles sont au c\u0153ur des activit\u00e9s des entreprises et sont devenus une des cibles favorites des attaquants. Elles sont utilis\u00e9es pour une tr\u00e8s grande vari\u00e9t\u00e9 de fonctions, traitent souvent des donn\u00e9es sensibles et sont particuli\u00e8rement expos\u00e9es. Pour vous prot\u00e9ger, r\u00e9aliser un pentest d\u2019application web<\/a> permet de tester comment ces applications r\u00e9sisteraient face \u00e0 des cyberattaques et de renforcer leur niveau de s\u00e9curit\u00e9.<\/p>\n\n\n\n![\"Statistiques](\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2021\/09\/Statistiques-attaques-web-mobile-1.png\")
<\/a>Cliquez pour t\u00e9l\u00e9charger l’infographie compl\u00e8te<\/a><\/em><\/figcaption><\/figure><\/div>\n\n\n\n\n\nStatistiques sur la s\u00e9curit\u00e9 IoT : une cybers\u00e9curit\u00e9 \u00e0 renforcer<\/strong><\/h3>\n\n\n\nL\u2019internet of things prend son essor : 11 % des foyers ont un ou des objets intelligents [11]<\/sup><\/a>. Mais la s\u00e9curit\u00e9 des objets connect\u00e9s reste encore le parent pauvre des strat\u00e9gies de d\u00e9veloppement de l\u2019IoT.<\/p>\n\n\n\nUnit 42[12]<\/sup><\/a> estime que 98 % de l\u2019ensemble du trafic des objets connect\u00e9s n\u2019est pas chiffr\u00e9 et que plus de la moiti\u00e9 des appareils sont vuln\u00e9rables \u00e0 des attaques de criticit\u00e9 moyenne ou importante.<\/p>\n\n\n\nLes menaces principales pour l\u2019IoT sont :<\/p>\n\n\n\n
- 41 %, les exploits (buffer overflow, injections, RCE\u2026)<\/li>
- 33 %, les malwares (vers, ransomwares, trojan, botnet\u2026)<\/li>
- 26 %, les usages des utilisateurs (mots de passe, phishing\u2026)<\/li><\/ul>\n\n\n\n
Cela se retrouve dans les nouvelles vuln\u00e9rabilit\u00e9s rapport\u00e9es dans les bulletins d\u2019informations pour les syst\u00e8mes de contr\u00f4les industriels (ICS Advisories), o\u00f9 les erreurs de corruption de m\u00e9moire sont les plus fr\u00e9quentes, repr\u00e9sentant 58 % des cas (out-of-bounds read, out-of-bounds write, stack based buffer overflow) [13]<\/sup><\/a>.<\/p>\n\n\n\nPour tester les vuln\u00e9rabilit\u00e9s du firmware, du hardware et des communications, un pentest IoT<\/a> permet typiquement de rechercher des failles sur l\u2019ensemble de l\u2019\u00e9cosyst\u00e8me de l\u2019objet connect\u00e9.<\/p>\n\n\n\n![\"Statistiques](\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2021\/09\/Statistiques-securite-IoT.png\")
<\/a>Cliquez pour t\u00e9l\u00e9charger l’infographie compl\u00e8te<\/em><\/em><\/a><\/figcaption><\/figure>\n<\/div>\n\n\n\n\nStatistiques d\u2019ing\u00e9nierie sociale : phishing, vishing et autres attaques<\/strong><\/h3>\n\n\n\nEn plus des attaques sur des failles techniques, les cyberattaques visent de plus en plus le facteur humain. Les attaquants essaient de manipuler les personnes pour obtenir des informations sensibles ou pour leur faire effectuer des actions compromettant la s\u00e9curit\u00e9.<\/p>\n\n\n\n
Le phishing est l\u2019attaque la plus connue. Il peut \u00eatre en masse et envoy\u00e9 au plus grand nombre possible d\u2019adresses emails dans les fichiers des attaquants. En 2020, 57 % des entreprises ont subi des attaques r\u00e9ussies de phishing, nous dit Proofpoint[14]<\/sup><\/a>.<\/p>\n\n\n\nLes cons\u00e9quences d\u2019une attaque de phishing r\u00e9ussie sont des pertes de donn\u00e9es, dans 60 % des cas, une infection ransomware (47 %) et une fraude au virement\/ perte financi\u00e8re dans 18 % des situations.<\/p>\n\n\n\n
Les marques utilis\u00e9es le plus fr\u00e9quemment dans les emails de phishing sont Outlook, Facebook, Office 365, Paypal et Chase Personal Banking [15]<\/sup><\/a>.<\/p>\n\n\n\nMais d\u00e9sormais, ce sont les attaques cibl\u00e9es qui se d\u00e9veloppent, avec un pr\u00e9texte ou une mise en situation sp\u00e9cifiquement pens\u00e9 pour une entreprise pr\u00e9cise. L\u2019ann\u00e9e pass\u00e9e, 66 % des organisations ont connu des tentatives d\u2019attaques cibl\u00e9es (spear-phishing) et 65 % des tentatives d\u2019arnaque au pr\u00e9sident (attaques BEC \u2014 Business Email Compromise) [14]<\/sup><\/a>.<\/p>\n\n\n\nD\u2019autres vecteurs d\u2019attaques sont \u00e9galement de plus en plus souvent utilis\u00e9s :<\/p>\n\n\n\n
- 61 % des entreprises ont fait face \u00e0 des attaques de smishing (phishing par sms),<\/li>
- 54 % des attaques de vishing (phishing par t\u00e9l\u00e9phone),<\/li>
- 54 % des attaques via des supports USB.<\/li><\/ul>\n\n\n\n
L\u2019ing\u00e9nierie sociale reste une menace m\u00e9connue. Les \u00e9quipes commencent \u00e0 \u00eatre sensibilis\u00e9es \u00e0 ces formes d\u2019attaques, mais cela doit \u00eatre renforc\u00e9.<\/p>\n\n\n\n
- 77 % savent qu\u2019une url peut \u00eatre camoufl\u00e9e dans les emails,<\/li>
- 55 % savent qu\u2019un email peut sembler venir d\u2019une autre personne que le vrai exp\u00e9diteur,<\/li>
- 58 % savent qu’une pi\u00e8ce jointe peut \u00eatre infect\u00e9e [14]<\/sup><\/a>.<\/li><\/ul>\n\n\n\n
Ce n\u2019est pas encore suffisant face aux diff\u00e9rentes formes d\u2019attaques, et les responsables s\u00e9curit\u00e9 estiment que la faible sensibilisation des \u00e9quipes est la barri\u00e8re n\u00b0 1 \u00e0 la r\u00e9ussite de la s\u00e9curit\u00e9 informatique [1]<\/sup><\/a>.<\/p>\n\n\n\nPour renforcer la sensibilisation des \u00e9quipes, des formations \u00e0 l\u2019ing\u00e9nierie sociale existent. Un pentest d\u2019ing\u00e9nierie sociale<\/a> permet \u00e9galement une sensibilisation en simulant des situations concr\u00e8tes d\u2019attaques.<\/p>\n\n\n\n![\"Statistiques](\"https:\/\/www.vaadata.com\/blog\/wp-content\/uploads\/2021\/09\/Statistiques-attaques-ingenierie-sociale.png\")
<\/a>Cliquez pour t\u00e9l\u00e9charger l<\/em>‘<\/em>infographie compl\u00e8te<\/em><\/em><\/a><\/figcaption><\/figure>\n<\/div>\n\n\n\n\nR\u00e9aliser un pentest pour identifier des failles et renforcer votre cybers\u00e9curit\u00e9<\/strong><\/h2>\n\n\n\nComme nous venons de le voir, les cyberattaques actuelles ont un taux de succ\u00e8s tr\u00e8s \u00e9lev\u00e9, aux cons\u00e9quences multiples. Elles visent les structures priv\u00e9es comme publiques. Elles cherchent \u00e0 s\u2019introduire dans une cible pr\u00e9cise (applications web, mobile, objet connect\u00e9\u2026) ou bien visent le syst\u00e8me d\u2019information d\u2019une entreprise. Pour s\u2019en prot\u00e9ger, le pentest est l\u2019occasion de mener des attaques r\u00e9alistes pour d\u00e9terminer le niveau de risque de la cible des tests.<\/p>\n\n\n\n
Le pentest est un audit de s\u00e9curit\u00e9 qui suit une m\u00e9thodologie rigoureuse pour r\u00e9pertorier l\u2019ensemble des vuln\u00e9rabilit\u00e9s pr\u00e9sentes. Il d\u00e9tecte des failles de s\u00e9curit\u00e9 de l\u2019application ou du syst\u00e8me cibl\u00e9, pour \u00e9tablir par o\u00f9 les attaquants pourraient rentrer et ce qu\u2019ils pourraient obtenir. Les failles techniques, logiques et humaines sont recherch\u00e9es.<\/p>\n\n\n\n
Apr\u00e8s les tests, un rapport d\u00e9taille les vuln\u00e9rabilit\u00e9s trouv\u00e9es ainsi que des suggestions de rem\u00e9diation. Il est exploitable directement par les \u00e9quipes techniques. Vous pouvez ainsi corriger les failles avant qu\u2019elles ne soient exploit\u00e9es par de r\u00e9els cyberattaquants.<\/p>\n\n\n\n\n\n
Un pentest pour se pr\u00e9parer et parer les cyberattaques<\/strong><\/h3>\n\n\n\nChaque pentest est adapt\u00e9 \u00e0 aux enjeux s\u00e9curit\u00e9 de la cible. Que vous soyez une PME, une startup ou une grande entreprise, nous d\u00e9finissons le p\u00e9rim\u00e8tre et la dur\u00e9e de l\u2019audit en fonction des menaces et de vos priorit\u00e9s s\u00e9curit\u00e9. Nous pouvons ainsi concentrer des tests sur un \u00e9l\u00e9ment particuli\u00e8rement \u00e0 risque (un logiciel, un portail web\u2026) ou bien mener un pentest global, afin de tester l\u2019ensemble du syst\u00e8me d\u2019information.<\/p>\n\n\n\n
Un pentest peut \u00eatre conduit en boite noire, en boite grise ou en boite blanche. Ces diff\u00e9rentes approches correspondent \u00e0 diff\u00e9rents niveaux d\u2019informations transmis aux pentesters. Il est tout \u00e0 fait possible de choisir diff\u00e9rentes approches en fonction des cibles et de la maturit\u00e9 s\u00e9curit\u00e9 de l\u2019entreprise sur les diff\u00e9rents p\u00e9rim\u00e8tres.<\/p>\n\n\n\n
Pour vous guider dans la d\u00e9finition d\u2019une strat\u00e9gie de pentest, vous pouvez consulter notre livre blanc Comment d\u00e9finir le scope d\u2019un pentest.<\/a><\/p>\n\n\n\nLes pentests sont men\u00e9s sur diff\u00e9rents types de cibles (web, mobile, IoT, infrastructure, syst\u00e8me d\u2019information) et identifient des failles techniques sp\u00e9cifiques \u00e0 chaque cible. Un pentest web \u00e9valuera par exemple la s\u00e9curit\u00e9 de serveurs, du back-office, de l\u2019applicatif. Un pentest mobile s\u2019int\u00e9ressera aux applications iOS et Android. Etc.<\/p>\n\n\n\n
Mais un pentest permet \u00e9galement de d\u00e9tecter entre autres des faiblesses comme l\u2019utilisation de mots de passe faibles, d\u00e9tectables avec des attaques par brute force.<\/p>\n\n\n\n
De plus, pour tester les comportements humains, il est possible de mener un pentest d\u2019ing\u00e9nierie sociale. Il permet de tester sp\u00e9cifiquement les r\u00e9flexes des \u00e9quipes face \u00e0 des cyberattaques telles que le phishing, l\u2019envoi de ransomware ou l\u2019arnaque au pr\u00e9sident.<\/p>\n\n\n\n
Chez Vaadata, nous d\u00e9mocratisons les tests d\u2019intrusion avec des offres adapt\u00e9es aux startups comme aux grandes entreprises. N\u2019h\u00e9sitez pas \u00e0 nous contacter pour \u00e9changer sur votre situation.<\/p>\n\n\n\n\n\n
Sources :<\/p>\n\n\n\n
[1] 2021 Cyberthreat Defense Report<\/a> \u2013 Cyberedge Group<\/p>\n\n\n\n[2] 2021 Cost of a Data Breach Report<\/a> \u2013 IBM<\/p>\n\n\n\n[3] 2020 Cost of a Data Breach Report<\/a> – IBM<\/p>\n\n\n\n[4] 2021 Data Breach Investigation Report<\/a> \u2013 Verizon<\/p>\n\n\n\n[5] 2021 Workplace Password Malpractice Report<\/a> \u2013 Keeper Security<\/p>\n\n\n\n[6] Cybersecurity in the work from anywhere area<\/a> \u2013 Yubico<\/p>\n\n\n\n[7] Hiding in plain sight<\/a> \u2013 1Password<\/p>\n\n\n\n[8] Ransomware: The True Cost to Business<\/a> – Cybereason<\/p>\n\n\n\n[9] The State of Web Application and API Protection<\/a> – Radware<\/p>\n\n\n\n[10] State of Software Security : Volume 11<\/a> – Veracode<\/p>\n\n\n\n
L\u2019impression g\u00e9n\u00e9rale est que les cyberattaques augmentent, mais qu\u2019en est-il vraiment\u2009?<\/p>\n\n\n\n
Selon le Cyberedge Report[1]<\/sup><\/a>, 86 % des organisations ont \u00e9t\u00e9 victimes d\u2019au moins une cyberattaque r\u00e9ussie en 2020. Plus de 4 entreprises\u2009sur 5 !<\/p>\n\n\n\n Lors de la premi\u00e8re \u00e9dition du rapport, en 2014, \u00ab\u2009seulement\u2009\u00bb 62 % avaient subi une attaque r\u00e9ussie, soit une augmentation de 24 points en 8 ans. L\u2019augmentation des attaques r\u00e9ussies est impressionnante.<\/p>\n\n\n\n\n\n Qui dit cyberattaques, dit souvent fuites de donn\u00e9es. Elles sont identifi\u00e9es en moyenne en 212 jours (soit 7 mois) et contenues en 75 jours, nous apprend le Cost of Data Breach Report[2]<\/sup><\/a>. Il pr\u00e9cise que 44 % des fuites de donn\u00e9es contiennent des informations personnelles identifiables.<\/p>\n\n\n\n Les principaux vecteurs d\u2019attaques initiaux lors de fuites de donn\u00e9es sont : des identifiants compromis dans 20 % des cas, du phishing dans 17 % des cas, des mauvaises configurations cloud dans 15 % des cas.<\/p>\n\n\n\n Le co\u00fbt moyen d\u2019une fuite de donn\u00e9es s\u2019\u00e9l\u00e8ve \u00e0 $4,24 millions. Les co\u00fbts d\u2019une fuite sont li\u00e9s \u00e0 plusieurs aspects :<\/p>\n\n\n\n Des actions ont d\u00e9montr\u00e9 leur efficacit\u00e9 pour faire baisser le co\u00fbt d\u2019une fuite de donn\u00e9es. Le moyen le plus efficace est de tester le plan de r\u00e9ponse (-7,7 %). D\u2019autres mesures sont la gestion de la continuit\u00e9 d\u2019activit\u00e9 (-7,2 %), des tests red team (-6,3 %), la formation du personnel (-6,2 %), des tests de vuln\u00e9rabilit\u00e9s (-4,5 %)\u2026[3]<\/sup><\/a><\/p>\n\n\n\n Le pentest fait en effet partie des outils les plus efficaces pour r\u00e9duire l\u2019impact des cyberattaques, car il s\u2019agit de simuler une attaque en utilisant les m\u00eames outils et techniques qu\u2019un attaquant malveillant.<\/p>\n\n\n\n Les PME et ETI font face elles aussi \u00e0 de nombreuses menaces. Le DBIR[4]<\/sup><\/a> a cat\u00e9goris\u00e9 le type d\u2019attaques les plus fr\u00e9quentes selon les tailles d\u2019organisations. Ainsi, les intrusions dans le syst\u00e8me (attaques n\u00e9cessitant plusieurs \u00e9tapes, avec d\u00e9placement dans l\u2019environnement), les erreurs et les attaques basiques contre les applications web repr\u00e9sentent pour les PME 80 % des types d\u2019attaques menant \u00e0 des fuites de donn\u00e9es et 74 % pour les grandes entreprises.<\/p>\n\n\n\n Les attaques contre les PME ont pour objectif principal le gain financier, dans 93 % des cas.<\/p>\n\n\n\n Les PME font face \u00e0 des attaques externes, mais \u00e9galement \u00e0 la menace interne<\/a>, qui sont \u00e0 l\u2019origine de 44 % des attaques.<\/p>\n\n\n\n\n\n Qu\u2019elles soient dans de petites ou tr\u00e8s grandes entreprises, certaines personnes continuent g\u00e9rer leurs mots de passe ou des secrets de mani\u00e8re non s\u00e9curis\u00e9e.<\/p>\n\n\n\n Un tiers des personnes sond\u00e9es admettent utiliser le nom de leur employeur dans un mot de passe li\u00e9 au travail. 1\/3 utilisent le nom ou l\u2019anniversaire de leur conjoint, 1\/3 utilisent le nom ou l\u2019anniversaire de leur enfant [5]<\/sup><\/a>.<\/p>\n\n\n\n 54 % utilisent un m\u00eame mot de passe sur de multiples comptes professionnels [6]<\/sup><\/a>.<\/p>\n\n\n\n Concernant la gestion des secrets, la situation est tout autant d\u00e9licate. 80 % des entreprises interrog\u00e9es par 1Password[7]<\/sup><\/a> admettent ne pas bien g\u00e9rer leurs secrets.<\/p>\n\n\n\n Par exemple, 48 % des entreprises utilisent un document partag\u00e9 ou un spreadsheet, avec un acc\u00e8s restreint ou non, pour stocker et g\u00e9rer leurs secrets d\u2019entreprises.<\/p>\n\n\n\n 77 % des anciens employ\u00e9s IT\/DevOps ont encore acc\u00e8s aux secrets d\u2019infrastructure de leur ex-entreprise.<\/p>\n\n\n\n Enfin, la pand\u00e9mie Covid-19 a conduit \u00e0 un m\u00e9lange des usages sur les appareils professionnels comme personnels. En effet, 42 % des personnes interrog\u00e9es utilisent tous les jours leur appareil professionnel pour des raisons personnelles lorsqu\u2019elles sont en t\u00e9l\u00e9travail [6]<\/sup><\/a>.<\/p>\n\n\n\n\n\n 69 % des entreprises ont \u00e9t\u00e9 victimes d\u2019un ransomware l\u2019ann\u00e9e pass\u00e9e [1]<\/sup><\/a>. Le rapport Cyberedge nous enseigne aussi que plus de la moiti\u00e9 des soci\u00e9t\u00e9s (57 %) payent pour r\u00e9cup\u00e9rer leurs donn\u00e9es.<\/p>\n\n\n\n Un cercle vicieux s\u2019est mis en place : de plus en plus, lorsque la demande de ran\u00e7on est r\u00e9gl\u00e9e, les donn\u00e9es sont r\u00e9cup\u00e9r\u00e9es (72 % des cas en 2021 \u2014 par rapport \u00e0 49 % en 2018). Les entreprises sont donc de plus en plus tent\u00e9es de payer la ran\u00e7on, car elles voient que cela permet de r\u00e9cup\u00e9rer les donn\u00e9es chiffr\u00e9es. Le paiement des ran\u00e7ons alimente le business des cybercriminels, qui continuent \u00e0 mener ces attaques, ce qui entraine de nouvelles victimes, qui seront tent\u00e9es de payer la ran\u00e7on pour r\u00e9cup\u00e9rer leurs donn\u00e9es, etc. etc.<\/p>\n\n\n\n Cependant, parmi celles qui ont pay\u00e9 pour r\u00e9cup\u00e9rer leurs donn\u00e9es, 46 % avaient certains fichiers r\u00e9cup\u00e9r\u00e9s corrompus [8]<\/sup><\/a>.<\/p>\n\n\n\n Et double peine, 80 % des entreprises qui ont pay\u00e9 une ran\u00e7on d\u00e9clarent avoir subi une seconde attaque ransomware. Dans 46 % des cas, les victimes pensent qu\u2019il s\u2019agit des m\u00eames attaquants [8]<\/sup><\/a>.<\/p>\n\n\n\n Face \u00e0 la mont\u00e9e des attaques ransomware, les assureurs ont d\u00e9velopp\u00e9 des cyberassurances. Ces assurances sont principalement utilis\u00e9es pour moiti\u00e9 pour couvrir les frais de consulting et des services l\u00e9gaux tiers. Dans 36 % des cas, l\u2019assurance sert \u00e0 couvrir les frais de restitutions aux victimes. Seuls 10 % des organisations ont utilis\u00e9 leur assurance pour couvrir le co\u00fbt de la ran\u00e7on [4]<\/sup><\/a>.<\/p>\n\n\n\n Le web et le mobile ne sont pas \u00e9pargn\u00e9s par les cyberattaques : 98 % des organisations ont report\u00e9 des attaques ciblant leurs applications web et mobiles [9]<\/sup><\/a>.<\/p>\n\n\n\n Concernant les applications mobiles, 42 % des organisations disent d\u2019ailleurs n\u2019avoir qu\u2019une s\u00e9curit\u00e9 bricol\u00e9e, voire pas de s\u00e9curit\u00e9 (22 %).<\/p>\n\n\n\n Les attaques les plus fr\u00e9quentes sur les applications et\/ou serveurs web sont :<\/p>\n\n\n\n Cela se confirme lorsqu\u2019on regarde le 2021 CWE Top 25<\/a>. Ce classement nomme les types de vuln\u00e9rabilit\u00e9s les plus fr\u00e9quemment rencontr\u00e9es. Dans le top 3, nous retrouvons l\u2019\u00e9criture hors limite (Out-of-bounds write), les failles Cross-Site-Scripting (XSS) et la validation incorrecte des entr\u00e9es (Improper Input Validation).<\/p>\n\n\n\n Les attaques les plus fr\u00e9quentes sur les APIs sont quant \u00e0 elles [9]<\/sup><\/a> :<\/p>\n\n\n\n Pour faciliter le d\u00e9veloppement, les \u00e9quipes s\u2019appuient sur des librairies tierces. Cependant, dans 79 % des cas, ces librairies ne sont jamais mises \u00e0 jour une fois int\u00e9gr\u00e9es dans le code, alors que 92 % des vuln\u00e9rabilit\u00e9s dans les librairies peuvent \u00eatre rem\u00e9di\u00e9es par une mise \u00e0 jour [10]<\/sup><\/a>.<\/p>\n\n\n\n Les applications web et mobiles sont au c\u0153ur des activit\u00e9s des entreprises et sont devenus une des cibles favorites des attaquants. Elles sont utilis\u00e9es pour une tr\u00e8s grande vari\u00e9t\u00e9 de fonctions, traitent souvent des donn\u00e9es sensibles et sont particuli\u00e8rement expos\u00e9es. Pour vous prot\u00e9ger, r\u00e9aliser un pentest d\u2019application web<\/a> permet de tester comment ces applications r\u00e9sisteraient face \u00e0 des cyberattaques et de renforcer leur niveau de s\u00e9curit\u00e9.<\/p>\n\n\n\n L\u2019internet of things prend son essor : 11 % des foyers ont un ou des objets intelligents [11]<\/sup><\/a>. Mais la s\u00e9curit\u00e9 des objets connect\u00e9s reste encore le parent pauvre des strat\u00e9gies de d\u00e9veloppement de l\u2019IoT.<\/p>\n\n\n\n Unit 42[12]<\/sup><\/a> estime que 98 % de l\u2019ensemble du trafic des objets connect\u00e9s n\u2019est pas chiffr\u00e9 et que plus de la moiti\u00e9 des appareils sont vuln\u00e9rables \u00e0 des attaques de criticit\u00e9 moyenne ou importante.<\/p>\n\n\n\n Les menaces principales pour l\u2019IoT sont :<\/p>\n\n\n\n Cela se retrouve dans les nouvelles vuln\u00e9rabilit\u00e9s rapport\u00e9es dans les bulletins d\u2019informations pour les syst\u00e8mes de contr\u00f4les industriels (ICS Advisories), o\u00f9 les erreurs de corruption de m\u00e9moire sont les plus fr\u00e9quentes, repr\u00e9sentant 58 % des cas (out-of-bounds read, out-of-bounds write, stack based buffer overflow) [13]<\/sup><\/a>.<\/p>\n\n\n\n Pour tester les vuln\u00e9rabilit\u00e9s du firmware, du hardware et des communications, un pentest IoT<\/a> permet typiquement de rechercher des failles sur l\u2019ensemble de l\u2019\u00e9cosyst\u00e8me de l\u2019objet connect\u00e9.<\/p>\n\n\n En plus des attaques sur des failles techniques, les cyberattaques visent de plus en plus le facteur humain. Les attaquants essaient de manipuler les personnes pour obtenir des informations sensibles ou pour leur faire effectuer des actions compromettant la s\u00e9curit\u00e9.<\/p>\n\n\n\n Le phishing est l\u2019attaque la plus connue. Il peut \u00eatre en masse et envoy\u00e9 au plus grand nombre possible d\u2019adresses emails dans les fichiers des attaquants. En 2020, 57 % des entreprises ont subi des attaques r\u00e9ussies de phishing, nous dit Proofpoint[14]<\/sup><\/a>.<\/p>\n\n\n\n Les cons\u00e9quences d\u2019une attaque de phishing r\u00e9ussie sont des pertes de donn\u00e9es, dans 60 % des cas, une infection ransomware (47 %) et une fraude au virement\/ perte financi\u00e8re dans 18 % des situations.<\/p>\n\n\n\n Les marques utilis\u00e9es le plus fr\u00e9quemment dans les emails de phishing sont Outlook, Facebook, Office 365, Paypal et Chase Personal Banking [15]<\/sup><\/a>.<\/p>\n\n\n\n Mais d\u00e9sormais, ce sont les attaques cibl\u00e9es qui se d\u00e9veloppent, avec un pr\u00e9texte ou une mise en situation sp\u00e9cifiquement pens\u00e9 pour une entreprise pr\u00e9cise. L\u2019ann\u00e9e pass\u00e9e, 66 % des organisations ont connu des tentatives d\u2019attaques cibl\u00e9es (spear-phishing) et 65 % des tentatives d\u2019arnaque au pr\u00e9sident (attaques BEC \u2014 Business Email Compromise) [14]<\/sup><\/a>.<\/p>\n\n\n\n D\u2019autres vecteurs d\u2019attaques sont \u00e9galement de plus en plus souvent utilis\u00e9s :<\/p>\n\n\n\n L\u2019ing\u00e9nierie sociale reste une menace m\u00e9connue. Les \u00e9quipes commencent \u00e0 \u00eatre sensibilis\u00e9es \u00e0 ces formes d\u2019attaques, mais cela doit \u00eatre renforc\u00e9.<\/p>\n\n\n\n Ce n\u2019est pas encore suffisant face aux diff\u00e9rentes formes d\u2019attaques, et les responsables s\u00e9curit\u00e9 estiment que la faible sensibilisation des \u00e9quipes est la barri\u00e8re n\u00b0 1 \u00e0 la r\u00e9ussite de la s\u00e9curit\u00e9 informatique [1]<\/sup><\/a>.<\/p>\n\n\n\n Pour renforcer la sensibilisation des \u00e9quipes, des formations \u00e0 l\u2019ing\u00e9nierie sociale existent. Un pentest d\u2019ing\u00e9nierie sociale<\/a> permet \u00e9galement une sensibilisation en simulant des situations concr\u00e8tes d\u2019attaques.<\/p>\n\n\n Comme nous venons de le voir, les cyberattaques actuelles ont un taux de succ\u00e8s tr\u00e8s \u00e9lev\u00e9, aux cons\u00e9quences multiples. Elles visent les structures priv\u00e9es comme publiques. Elles cherchent \u00e0 s\u2019introduire dans une cible pr\u00e9cise (applications web, mobile, objet connect\u00e9\u2026) ou bien visent le syst\u00e8me d\u2019information d\u2019une entreprise. Pour s\u2019en prot\u00e9ger, le pentest est l\u2019occasion de mener des attaques r\u00e9alistes pour d\u00e9terminer le niveau de risque de la cible des tests.<\/p>\n\n\n\n Le pentest est un audit de s\u00e9curit\u00e9 qui suit une m\u00e9thodologie rigoureuse pour r\u00e9pertorier l\u2019ensemble des vuln\u00e9rabilit\u00e9s pr\u00e9sentes. Il d\u00e9tecte des failles de s\u00e9curit\u00e9 de l\u2019application ou du syst\u00e8me cibl\u00e9, pour \u00e9tablir par o\u00f9 les attaquants pourraient rentrer et ce qu\u2019ils pourraient obtenir. Les failles techniques, logiques et humaines sont recherch\u00e9es.<\/p>\n\n\n\n Apr\u00e8s les tests, un rapport d\u00e9taille les vuln\u00e9rabilit\u00e9s trouv\u00e9es ainsi que des suggestions de rem\u00e9diation. Il est exploitable directement par les \u00e9quipes techniques. Vous pouvez ainsi corriger les failles avant qu\u2019elles ne soient exploit\u00e9es par de r\u00e9els cyberattaquants.<\/p>\n\n\n\n\n\n Chaque pentest est adapt\u00e9 \u00e0 aux enjeux s\u00e9curit\u00e9 de la cible. Que vous soyez une PME, une startup ou une grande entreprise, nous d\u00e9finissons le p\u00e9rim\u00e8tre et la dur\u00e9e de l\u2019audit en fonction des menaces et de vos priorit\u00e9s s\u00e9curit\u00e9. Nous pouvons ainsi concentrer des tests sur un \u00e9l\u00e9ment particuli\u00e8rement \u00e0 risque (un logiciel, un portail web\u2026) ou bien mener un pentest global, afin de tester l\u2019ensemble du syst\u00e8me d\u2019information.<\/p>\n\n\n\n Un pentest peut \u00eatre conduit en boite noire, en boite grise ou en boite blanche. Ces diff\u00e9rentes approches correspondent \u00e0 diff\u00e9rents niveaux d\u2019informations transmis aux pentesters. Il est tout \u00e0 fait possible de choisir diff\u00e9rentes approches en fonction des cibles et de la maturit\u00e9 s\u00e9curit\u00e9 de l\u2019entreprise sur les diff\u00e9rents p\u00e9rim\u00e8tres.<\/p>\n\n\n\n Pour vous guider dans la d\u00e9finition d\u2019une strat\u00e9gie de pentest, vous pouvez consulter notre livre blanc Comment d\u00e9finir le scope d\u2019un pentest.<\/a><\/p>\n\n\n\n Les pentests sont men\u00e9s sur diff\u00e9rents types de cibles (web, mobile, IoT, infrastructure, syst\u00e8me d\u2019information) et identifient des failles techniques sp\u00e9cifiques \u00e0 chaque cible. Un pentest web \u00e9valuera par exemple la s\u00e9curit\u00e9 de serveurs, du back-office, de l\u2019applicatif. Un pentest mobile s\u2019int\u00e9ressera aux applications iOS et Android. Etc.<\/p>\n\n\n\n Mais un pentest permet \u00e9galement de d\u00e9tecter entre autres des faiblesses comme l\u2019utilisation de mots de passe faibles, d\u00e9tectables avec des attaques par brute force.<\/p>\n\n\n\n De plus, pour tester les comportements humains, il est possible de mener un pentest d\u2019ing\u00e9nierie sociale. Il permet de tester sp\u00e9cifiquement les r\u00e9flexes des \u00e9quipes face \u00e0 des cyberattaques telles que le phishing, l\u2019envoi de ransomware ou l\u2019arnaque au pr\u00e9sident.<\/p>\n\n\n\n Chez Vaadata, nous d\u00e9mocratisons les tests d\u2019intrusion avec des offres adapt\u00e9es aux startups comme aux grandes entreprises. N\u2019h\u00e9sitez pas \u00e0 nous contacter pour \u00e9changer sur votre situation.<\/p>\n\n\n\n\n\n Sources :<\/p>\n\n\n\n [1] 2021 Cyberthreat Defense Report<\/a> \u2013 Cyberedge Group<\/p>\n\n\n\n [2] 2021 Cost of a Data Breach Report<\/a> \u2013 IBM<\/p>\n\n\n\n [3] 2020 Cost of a Data Breach Report<\/a> – IBM<\/p>\n\n\n\n [4] 2021 Data Breach Investigation Report<\/a> \u2013 Verizon<\/p>\n\n\n\n [5] 2021 Workplace Password Malpractice Report<\/a> \u2013 Keeper Security<\/p>\n\n\n\n [6] Cybersecurity in the work from anywhere area<\/a> \u2013 Yubico<\/p>\n\n\n\n [7] Hiding in plain sight<\/a> \u2013 1Password<\/p>\n\n\n\n [8] Ransomware: The True Cost to Business<\/a> – Cybereason<\/p>\n\n\n\n [9] The State of Web Application and API Protection<\/a> – Radware<\/p>\n\n\n\n [10] State of Software Security : Volume 11<\/a> – Veracode<\/p>\n\n\n\nQuel est le co\u00fbt d\u2019une fuite de donn\u00e9es\u2009?<\/strong><\/h4>\n\n\n\n
<\/a>Focus sur la cybers\u00e9curit\u00e9 des PME<\/strong><\/h4>\n\n\n\n
Des comportements \u00e0 risque pour la gestion des mots de passe ou des secrets<\/strong><\/h4>\n\n\n\n
Face aux attaques ransomware : les statistiques cl\u00e9s<\/strong><\/h3>\n\n\n\n
<\/a>Statistiques li\u00e9es aux attaques sur les applications web et mobiles<\/strong><\/h3>\n\n\n\n
<\/a>Statistiques sur la s\u00e9curit\u00e9 IoT : une cybers\u00e9curit\u00e9 \u00e0 renforcer<\/strong><\/h3>\n\n\n\n
<\/a>Statistiques d\u2019ing\u00e9nierie sociale : phishing, vishing et autres attaques<\/strong><\/h3>\n\n\n\n
<\/a>R\u00e9aliser un pentest pour identifier des failles et renforcer votre cybers\u00e9curit\u00e9<\/strong><\/h2>\n\n\n\n
Un pentest pour se pr\u00e9parer et parer les cyberattaques<\/strong><\/h3>\n\n\n\n