Discussion :

[Bill Fassinou]

La Russie et la Chine sont les deux principales origines des cyberattaques dans le monde entier
d'après un rapport de Carbon Black

Carbon Black est une entreprise fournissant des services de sécurité pour les terminaux. Dans son dernier rapport trimestriel, le Quarterly Incident Response Threat Report (QIRTR), l'entreprise fait un tour d’horizon des cyberattaques afin de quantifier les tendances observées par les principales entreprises de riposte aux incidents. Le rapport regroupe les contributions qualitatives et quantitatives des principales entreprises de riposte aux incidents partenaires de Carbon Black et donne un aperçu des enquêtes sur les violations actives qui, dans la plupart des cas, surviennent suite à des erreurs humaines, des failles dans les processus ou dans la technologie de sécurité.

Selon le rapport, la Russie et la Chine sont les deux principales origines des cyberattaques dans le monde entier. La Russie est en effet désignée par 81 % des professionnels en riposte aux incidents interrogés comme l'une des origines de cyberattaques qu'ils ont découvertes, alors que la Chine est citée par 76 % d'entre eux. Et selon Carbon Black, ces cyberattaques s'inscriraient en partie dans le cadre d'activités d'espionnage. « Plus d'un tiers de tous les répondants (35 %) considèrent l'espionnage comme le principal motif d'attaque. Ils ont aussi fréquemment cité la perturbation des entreprises et le chantage, avec respectivement 19 % et 14 % », selon le rapport.

« Les cybercriminels affûtent leur capacité à rester incognito à l’intérieur des entreprises dans lesquelles ils se sont introduits et font évoluer leurs attaques pour contrer les efforts de riposte. Cette évolution des méthodes d’attaque coïncide avec la recrudescence des tensions géopolitiques. Les États-nations tels que la Russie, la Chine, l’Iran et la Corée du Nord exploitent et soutiennent activement des cybermilices technologiquement avancées », nous apprend le rapport qui rappelle aussi que « la majeure partie des entreprises n’est pas préparée à faire face à ce genre d’attaques ». Il faut encore, selon le rapport, que ces entreprises créent et mettent en œuvre des programmes de riposte aux incidents proactifs, plutôt que de continuer à se reposer sur des antivirus obsolètes et sur des outils de pare-feu.

Le rapport indique également que le secteur financier est le secteur subissant le plus de cyberattaques (78 % des professionnels en riposte aux incidents interrogés le citent). Viennent ensuite le secteur de la santé avec 73 % et les institutions gouvernementales avec 43 %.

Toujours selon le rapport, 10 % des entreprises violées subissent des attaques destructrices. 68 % des professionnels reconnaissent le manque de visibilité comme une entrave à l’efficacité de la riposte aux incidents. 59 % des professionnels travaillent avec des entreprises qui prennent une posture réactive, plutôt qu’une posture proactive a l’égard de la riposte aux incidents.

Pour les professionnels, la clé d’une riposte efficace, c’est la proactivité. Ils soulignent qu’avoir une approche proactive de la riposte aux incidents ne requiert pas obligatoirement de lourds investissements et donnent donc quelques conseils sur ce que les entreprises devraient savoir pour s’engager sur le chemin de la proactivité. Adopter une approche proactive, selon le rapport, c’est :

• avoir un plan de riposte en place de manière à ce qu’en cas d’attaques, le personnel soit préparé à répondre sans paniquer ;
• communiquer et notifier de manière à ce que les bonnes personnes reçoivent les bonnes informations aux bons moments ;
• s’informer de ses obligations légales en cas d’attaque afin de s’y conformer ;
• s’assurer d’avoir une bonne visibilité dans son propre réseau ;
• chasser le pirate infiltré sans faire trop de bruit de manière à ce qu’il ne se rende compte d’avoir été repéré que lorsque le personnel de riposte le décidera ;
• faire des vérifications régulières sur le système et avoir une authentification à plusieurs facteurs.

Les entreprises ne devraient plus attendre de subir des violations pour agir dans ce sens. Selon le rapport, elles devraient accroître leurs niveaux de sécurité et s’armer à l’avance pour les cas où le système de défense ne suffirait pas.

Rapport trimestriel de Carbon Black

Source : Carbon Black

Et vous ?

Que pensez-vous de ces chiffres ?
Comment lutter efficacement contre les cyberattaques selon vous ?

Voir aussi

Les meilleurs cours et tutoriels pour apprendre la sécurité informatique

Cybersécurité : comment l'attaque contre Equifax en 2017 a-t-elle pu être possible ? Un état des lieux de la cybersécurité après cette attaque

Cybersécurité : la menace numérique est en augmentation de 32 % en France, 245 millions d'euros par an sont détournés sur Internet

[marsupial]

Pratiquer des audits réguliers et en tenir compte dans un durcissement des systèmes et en parallèle, sensibiliser les utilisateurs par des exercices tout aussi réguliers comme pour les alertes au feu.

Pour les chiffres, j'ai cru lire que le plus virulent était Singapour actuellement.

[tanaka59]

Les chiffres avancés sont grotesques .

Les pays d'origines des attaques sont situés en ... Europe !

Roumanie , Serbie , Balkans , Caucase .... pourquoi encore faire porter le chapeau à la Russie et a la Chine ?

On reparle aussi des attaques venant , d’Afrique , d’Indonésie , des philippines ou de Thaïlande ?

Je veux bien quand même que la Russie et a la Chine sont des vilains petit canard mais quand même .

[hotcryx]

C'est bon de taper sur les autres hein mais PRISM c'est américain.

Alors qu'ils ne viennent pas nous donner de leçons.

[ParseCoder]

D'où l'intérêt d'une coopéreration avec ces pays en matière de sécurité. S'ils n'étaient pas sincères ça se verrai très vite et de toute façon ça n'est pas leur intérêt. Mais non il faut toujours les traiter comme s'ils étaient le grand méchant loup. En plus on sait maintenant que la CIA, la NSA sont capables de de faire porter le chapeau à n'importe qui pour une attaque. C'est à cause de cette bande de zigotos qu'on ne peut pas améliorer la sécurité.

[sambia39]

Bonjour,

Il y a des erreurs dans l’article, à commencer par "riposte à incident" : ça n’existe pas dans mon métier d’analyste, réponse à incident oui, ou éventuellement on peut dire, une contre réponse à incident pour faire référence à une autre réponse apportée par une autre équipe indépendante ou non indépendante.
Pourquoi je dis ça ? Parce qu’une riposte à incident ne veut rien dire quand on riposte dans le monde des systèmes d’information, on est dans l’offensive et à mon sens, aucune loi n’autorise une entreprise de riposter à un incident de sécurité (sans rentrer dans les détails). Donc, dans le rapport que j’ai lu, il est rapidement employé le terme « réponse à incident » soit (Incident Response (IR) thread raport).

Deuxièmement, l’article se base sur un sondage et ne pointe pas ou ne parle pas de la Chine, la Russie et la Corée du Nord qui sont à l’origine des attaques sophistiquées axées plus particulièrement dans l'espionnage dans le monde, mais plutôt d’une évolution des activités en matière de cyberespionage ou autres qui coïncide avec les tensions géopolitiques entre états et nation dans le but soit de déstabiliser les marchés financiers, etc. Et prends comme exemple la Russie, la Chine, l’Iran et la Corée du Nord qui use des moyens de ce genre (et il n'y a pas qu'eux.) À travers des groupes (activistes, groupuscule, etc.) pour commettre des actes de cybercriminalité, cyberespionnage ou sabotage. Et il en sort de ce rapport les constats et avis suivants (en résumer que):[B]81 % des IR disent que la majorité des attaques viennent de la Russie ; 76 % disent en revanche que la majorité vient de Chine et 35% disent que l'objectif final des attaquants est espionnage . Le rapport donne également ou plutôt avance des chiffres d’un ensemble de secteurs.

Franchement, entre la Russie, la Chine, les États-Unis et autres nations pour ne pas citer que ces trois-là ; qui de ces trois ont une forte capacité offensive en matière de cyberespionage ou cybercriminalité . Ceci dit en passant, hier Singapour a été la cible d'une attaque informatique sérieuse. Pour être plus précis il s'agit de vol de données personnelles et de santé du quart de la population du pays, soit 1/2 million de personnes. Dont celles du Premier ministre Lee Hsien Loong en personnes. De ce constat, n'importe qui peut directement pointer du doigt le levant, mais s'agit 'il réellement d'eux ça pourrait aussi être oncle Kim voir une autre nation qui cherche porter un coup dans le but de déstabiliser la région on n'en sait rien bref, c'est un avis après tout, il faut juste comprendre qu’il est très difficile de mettre un visage, ou la responsabilité directe d'un groupe, un individu, un agent ou un état derrière ce type d’attaques. Pour faire simple, il est très difficile d’avoir des preuves concrètes que c’est untel qui est l’origine d’une attaque parce que les attaquants ne sont pas si stupides au point de commettre des délits depuis leurs points d’origine. Sans une preuve irréfutable, il est difficile de dire que c’est la Nation X ou Mr Y qui a fait le coup.D’ailleurs, les spécialistes du monde cyber vous diront qu’il est très difficile d’avoir une vision précise et d’obtenir des chiffres réels.


Troisièment, le rapport ne pas conclue sur ce qui est écrit dans l’article , mais préconise ou plutôt conseille de lutter contre les attaques de demain, en mettant l'accent sur la détection rapide avec une visibilité accrue sur les architectures réseaux, voir l’ensemble du système d’information en mettant en place, par exemple, une politique de sécurité claire à adopter ainsi que des procédures en cas d’incidents avérés/détectés. Vérifiez régulièrement toutes les infrastructures de l’ensemble des systèmes informatiques, mettez en place des programmes de formation à la sécurité des systèmes d’information destinés au personnel qui sont les utilisateurs finaux pour les sensibiliser sur les problématiques liées aux systèmes d’information et ainsi comprendre les risques que peut engendrer un incident de sécurité, publiez des mémos ou autres news de sécurité rappelant aux utilisateurs leurs responsabilités et les limites à ne pas franchir, et avisez-les des risques de poursuites en cas de violation et créez une CSIRT qui a la charge de gérer et de répondre aux incidents liés à la sécurité des systèmes d’information.

Bref, quelques mots sont mal traduits et faut également revoir l’article a mon sens (c’est mon avis).
à bientôt