mercredi 20 septembre 2017

Accueil du site > Informatique > Sécurité Informatique > "Les cybercriminels aussi cherchent un retour sur investissement"

"Les cybercriminels aussi cherchent un retour sur investissement"

Propos recueillis par Damien Leloup, le Monde

lundi 13 septembre 2010, sélectionné par Spyworld

logo

Matt van der Wel est directeur de la division Forensices EMEA chez Verizon, et est l’un des co-auteurs du rapport Data Breach, qui analyse chaque année les vols de données informatiques ciblant des entreprises.

Pour la première fois, votre rapport annuel a été élaboré en collaboration avec les services secrets américains. Qu’est-ce que cela a changé ?

Cela nous a permis d’étudier un plus grand nombre de cas, bien sûr, mais surtout, nous avons pu travailler sur des types d’intrusions assez différentes. En règle générale, les entreprises qui font appel à nos services sont plutôt victimes d’un piratage externe. Elles partent du principe qu’il est difficile de retrouver et de faire condamner un pirate basé en Russie ou en Chine. En revanche, lorsque l’entreprise suspecte que le piratage est l’œuvre d’un employé, elle aura davantage tendance à se tourner directement vers les forces de l’ordre : leur objectif commun est que l’auteur soit poursuivi et condamné.

Y a-t-il un "profil-type" de l’employé qui pirate son entreprise ?

Non, il n’y a pas de profil-type, mais en revanche on retrouve souvent le même comportement. Dans la majorité des cas, l’employé qui vole des données dans son entreprise s’est déjà fait remarquer par le passé en commettant plusieurs infractions aux règles de sécurité informatique. Dans une affaire que nous avons étudiée, le principal suspect avait déjà détourné le compte Facebook d’un collègue, puis usurpé l’identifiant de connexion et le mot de passe d’un autre collègue, sans être sanctionné. Il a ensuite volé une grande quantité de données.

Cela ne veut pas dire qu’il faille surveiller en permanence ce que font les salariés. Mais dans de nombreuses entreprises, les droits d’accès dont disposent les employés sont largement supérieurs à leurs besoins réels. S’assurer que les employés ont uniquement accès aux données dont ils ont besoin, c’est déjà s’assurer une meilleure protection.

Vous estimez que des compétences techniques élevées, ou l’accès à des ressources importantes comme un botnet [réseau d’ordinateurs infectés], n’étaient nécessaires que dans 15 % des cas de piratage. Cela signifie-t-il que l’image des groupes de pirates très organisés, très compétents est un mythe ?

Non, pas vraiment. Tout d’abord, ces cas de piratages très élaborés sont effectivement plus rares, mais lorsqu’on regarde le volume de données volées, on constate que ces 15 % des piratages représentent 85 % des données perdues par les entreprises.

Le fonctionnement d’un groupe de cybercriminels s’apparente à celui d’une entreprise : c’est une question de retour sur investissement. Un groupe déterminé pourra choisir de consacrer beaucoup de temps et d’énergie pour pénétrer le système d’une cible perçue comme rentable ; ou bien il pourra faire le choix de s’attaquer à plusieurs cibles moins "riches" mais plus faciles d’accès.

On entend souvent des dirigeants d’entreprise qui considèrent que les pirates les plus talentueux sont inarrêtables, et que ce n’est donc pas de leur faute si leurs systèmes sont victimes d’une attaque. Ce n’est pas complètement faux, mais c’est un peu comme un cambriolage : un cambrioleur professionnel pourra peut-être s’introduire chez vous malgré votre serrure renforcée et votre alarme, mais cela ne veut pas dire qu’il ne faut pas installer une serrure et prendre les précautions minimales pour éviter d’être perçu comme une cible facile...

Malgré l’ajout des données des services secrets américains, le nombre de piratages constatés sur 2009 est en nette baisse. Cela signifie-t-il que le cybercrime est en diminution ?

C’est possible, mais peu probable. Il est possible que le nombre important d’arrestations qui ont eu lieu durant l’année, tout comme la condamnation de cybercriminels importants comme Alberto Gonzalez, aient désorganisé certains réseaux ou les aient poussés à limiter leurs actions. Mais deux autres facteurs plus crédibles pourraient expliquer cette baisse. Tout d’abord, en 2008, de très nombreuses coordonnées bancaires avaient été mises en vente sur les sites spécialisés, après plusieurs piratages de grande ampleur. Comme dans tout marché, cela a provoqué un effondrement des prix : il est possible que les groupes attendent que les tarifs remontent.

L’autre explication possible est liée à la nature de ce que nous observons. Un vol de coordonnées bancaires est rapidement repéré : le titulaire se rend compte très vite des mouvements suspects sur son compte. Lorsqu’il s’agit d’un vol de propriété intellectuelle, par exemple de plans d’une machine, il peut se passer des mois, voire des années, avant que l’entreprise se rende compte qu’on lui a volé des données.

Pourtant, vous estimez que dans la plupart des cas, l’entreprise aurait pu découvrir l’intrusion en consultant ses historiques de connexion (logs).

Oui, dans la plupart des cas, une intrusion laisse des traces : la taille des logs augmente significativement, ou bien ils changent de forme. Dans certains cas, ils disparaissent même complètement, et pourtant, le plus souvent, personne ne s’en rend compte ! C’est l’une des conséquences de la crise : avec les plans de réductions de coûts, l’un des premiers postes de dépense coupé, c’est bien souvent la sécurité informatique...

Les entreprises aiment investir dans les infrastructures, les serveurs, mais il est encore plus important d’investir dans l’humain : avoir des salariés qui comprennent ce qu’est la sécurité informatique, et qui sauront distinguer un comportement normal ou anormal dans les échanges de données, c’est fondamental.


Envoyer : Newsletter Imprimer : Imprimer Format PDF : Enregistrer au format PDF PartagerPartager :