Verizon publie une synthèse de 4 années d'investigations informatiques

Verizon Business a publié le mois dernier un rapport synthétisant quatre ans d'investigations informatiques (forensics) portant sur environ 500 cas de compromissions de systèmes d'informations. Ce document met en évidence un certain nombre de données intéressantes, dont le détail de la cause des compromissions. Voici quelques commentaires rapides :

Données

- Assez logiquement, le plus grand nombre d'attaques (73%) proviennent d'une source extérieure à l'entreprise, typiquement Internet.

- 18% des attaques ont été réalisées par des employés de l'entreprise (50% d'entre eux étaient des membres de l'équipe informatique). Même si ces attaques sont plus rares, les dommages causes par les employés sont de très loin les plus importants.

- Environ 40% des attaques ont implique un partenaire. Ce nombre est important mais il est également intéressant de noter la progression dans le temps du nombre de partenaires impliques dans la compromission du système d'information des entreprises: en 2004 les partenaires représentaient seulement 8% des attaques, contre plus de 40% en 2008 (et cela continuerait de progresser).

Commentaires

- Les entreprises sont maintenant relativement bien sensibilisées au risque que représente une exposition sur Internet et des mesures appropriées sont le plus souvent mises en places (architecture, firewalls, IDS, etc.) pour limiter le risque. Une conséquence étant que même si le nombre d'attaques impliquant une source externe reste extrêmement important, les dommages sont maintenant relativement limites (cela dépend évidemment des cas).

- Concernant les menaces internes, les mesures appliquées sont sans doute insuffisantes dans la plupart des cas et une attaque menée par un employé (ou un ancien employé qui aurait conserve ses accès a distance par exemple) a souvent des conséquences considérables. Il est important de renforcer (ou de créer) les procédures de fin de contrat pour s'assurer que les comptes nominatifs sont supprimes, les mots de passe modifies, les accès a distance annules, les machines sensibles auditées, etc.

- Le cas des partenaires est un peu a part car de part leur statut ils bénéficient souvent d'un niveau de confiance privilégié et peuvent ainsi accéder a certaines ressources internes de l'entreprise (typiquement via des VPN). L'environnement du partenaire n'est pas maitrise par l'entreprise et si celui-ci est compromis, une exploitation de la relation privilégiée entre l'entreprise et le partenaire peut avoir des conséquences importantes. Cela tend donc à montrer que les précautions prises avec les partenaires sont loin d'être suffisantes et qu'il faut reconsidérer cette relation de confiance en mettant en place les restrictions et contrôles associes. Ceux-ci doivent sans doute être équivalents a ceux associes aux risques purement externes.

Autres éléments intéressants du rapport (parmi de nombreux autres)

- Concernant les attaques exploitant une vulnérabilité connue, dans 71% des cas un correctif était disponible depuis plus d'un an.

- L'entreprise a été notifiée de la compromission de son système par une source extérieure dans 75% des cas.

- Les cibles ont été sélectionnées de manière précise par les attaquants dans 15% des cas (dans 39% des cas il s'agissait du hasard suite a des scan par exemple).

- Entre le moment de la compromission et sa découverte, il s'est écoulé plusieurs mois dans 63% des cas.

- Entre le moment de la découverte de la compromission et la réaction de l'entreprise, il s'est écoulé plusieurs semaines dans 48% des cas.

- 83% des compromissions ont été dues à des attaques considérées comme n'étant pas d'un haut niveau de difficulté à réaliser.

- Les données compromises étaient relatives à des moyens de paiement dans 84% des cas.

- Les attaques ont cible des applications web dans 34% des cas.

Mots clés : forensics, investigation, synthese, verizon