Sophos publie les résultats de son enquête mondiale intitulée The Impossible Puzzle of Cybersecurity (L’impossible défi de la cybersécurité). Celle-ci révèle que les responsables informatiques sont submergés par les cyberattaques et ont du mal à y faire face en raison d’un manque d’expertise en sécurité, de budget et de technologie à jour. Réalisée auprès de 3.100 décideurs informatiques au sein d’entreprises de taille moyenne en France, au Royaume Uni, en Allemagne aux États-Unis, au Canada, au Mexique, en Colombie, au Brésil, en Australie, au Japon, en Inde et en Afrique du Sud, l’enquête révèle comment les techniques d’attaque varient et se déroulent, souvent en plusieurs étapes, rendant ainsi la protection des réseaux difficile. Un responsable informatique sur cinq interrogé ne sait pas comment une telle attaque a pu avoir lieu au sein de son système. Par ailleurs, la diversité des méthodes d’attaque signifie qu’aucune stratégie de défense unique ne peut apporter une solution miracle.
« Les cybercriminels développent leurs méthodes d’attaque et utilisent souvent plusieurs charges virales pour maximiser leurs profits. Les exploits logiciels ont été le point d’entrée initial dans 23% des incidents, mais ils ont également été utilisés d’une manière ou d’une autre dans 35% des attaques, démontrant ainsi comment ils ont eu un effet à plusieurs étapes de la chaîne d’attaque », explique dans un communiqué Chester Wisniewski, chercheur principal chez Sophos. Ainsi, 53% des personnes victimes d’une cyberattaque ont reçu un email de phishing et 30% d’entre elles ont été prises pour cible par un ransomware. De plus, 41% des personnes interrogées affirment avoir été victimes d’une violation de données. « Les entreprises qui ne font qu’appliquer des correctifs externes au niveau des serveurs à haut risque restent vulnérables en interne et les cybercriminels profitent de cette situation ainsi que d’autres failles de sécurité », estime l’analyste.
Il ressort des réponses des 300 responsables IT français interrogés que l’Hexagone constitue un terrain de chasse favorable aux hackers. En effet, à peine 4,3% des sondés considèrent la chaîne logistique comme un risque majeur pour la sécurité, offrant ainsi un vecteur d’attaque supplémentaire que les cybercriminels utiliseront très probablement. « Les cybercriminels recherchent en permanence un moyen d’infiltrer une entreprise et les attaques de la chaîne logistique occupent désormais une place prédominante sur leur liste de méthodes à utiliser. Les responsables informatiques doivent considérer la chaîne logistique comme une priorité en matière de risques liés à la sécurité, mais ne le font pas car ils partent du principe que ces attaques sont perpétrées par des États-nations sur des cibles très stratégiques. S’il est vrai que ces derniers ont été les premiers à lancer de telles attaques, une fois que ces techniques ont été rendues publiques, certains cybercriminels peuvent alors les adopter, laissant libre cours à leur imagination, afin d’augmenter leur taux de réussite », estime Chester Wisniewski. « Les attaques de la chaîne logistique constituent également un moyen efficace pour les cybercriminels de lancer des attaques actives et automatisées. Ils choisissent une victime parmi un grand nombre de cibles potentielles, puis piratent activement cette entreprise spécifique en utilisant des techniques manuelles et des mouvements latéraux pour éviter d’être détecté et atteindre leur objectif ».
La France souffre par ailleurs d’un manque criant de compétences en matière de sécurité. Alors que 37% des responsables IT affirment consacrer en moyenne 20 à 30 % du temps de leur équipe à la gestion de la sécurité, ils sont nettement plus nombreux (52,37%) à reconnaître que les compétences ad hoc pourraient être améliorées. Une grande partie d’entre eux (48,7% des sondés) souhaite la mise en place d’une équipe plus solide pour détecter, investiguer et réagir face aux incidents de sécurité. Même s’ils obtiennent les ressources financières nécessaires (42% se plaignent d’un budget inférieur à leurs besoins), ils n’échappent en général pas au problème du recrutement. C’est ainsi que 79% des responsables informatiques du panel déclarent qu’il est difficile de recruter des personnes possédant les compétences dont ils ont besoin.
Disposer d’une technologie à jour est un autre problème, auquel sont confrontés 43,7% des personnes interrogées Pourtant, estime Chester Wisniewski, la technologie peut en partie compenser le manque de compétences. « La mise en place d’un « système » de sécurité contribue à réduire le manque de compétences en matière de sécurité auquel font face les responsables informatiques. Il est beaucoup plus rapide et rentable pour les entreprises de faire évoluer leur maturité en matière de sécurité avec des outils simples à utiliser, fonctionnant de concert au niveau de l’ensemble du périmètre d’activité de l’entreprise. »