Le secteur du e-commerce est une cible particulièrement tentante pour les cybercriminels : les sites marchands conservent des données précieuses et leur disponibilité à 100% est cruciale pour leurs exploitants. Les dommages causés par un piratage peuvent être considérables sur le plan financier : une mauvaise image de marque, des interruptions de service nuisent à la fréquentation des sites. Une récente étude de Ponemon Institute rapporte dans quelle mesure 675 entreprises du secteur marchand parviennent à faire face aux menaces (APT : Advanced Persistant Threat) dont elles sont la cible.
Tribune par Eric Michonnet, Directeur central Europe, Southern Europe & Norh Africa chez Arbor Networks
(N.B. Dans le cadre de cette étude, une menace ou une menace avancée (APT) est définie comme étant conçue pour échapper aux dispositifs existants de sécurité préventifs tels que les firewalls et IPS).
L’un des résultats les plus frappants – mais aussi inattendu – de l’étude est le temps nécessaire aux sites de e-commerce pour détecter et contenir les menaces, soit respectivement 197 et 39 jours. Cela signifie qu’une fois qu’un pirate a pénétré dans un réseau, il a tout son temps pour évoluer à l’intérieur et accomplir ses objectifs, quels qu’ils puissent être. Dans de nombreux cas, il n’y a même aucune détection du tout, l’intrusion n’étant découverte que trop tard lorsque le vol de données apparaît au grand jour.
Dans ces conditions, on pourrait s’attendre à ce que les acteurs du secteur cherchent à améliorer la situation, et l’étude indique d’ailleurs que diverses mesures sont prises à cet effet. La plus répandue est « l’intégration de la veille des menaces dans la fonction de réponse aux incidents » ; mais, aussi utile que soit-elle, la veille des menaces dépend de la pertinence et de la “fraicheur” des informations recueillies.
La veille ‘sur étagère’ perd rapidement de son intérêt à mesure que l’infrastructure compromise est nettoyée par l’utilisateur ou l’attaque réajustée par le pirate. Sa pertinence est tout aussi importante : par exemple, il n’est guère utile pour un site marchand d’Europe de l’Ouest de disposer d’informations sur les menaces ciblant l’industrie pétrochimique au Moyen-Orient. Une statistique clé qui ressort de l’enquête est que seuls 17 % des acteurs du e-commerce interrogés partagent leurs informations sur les menaces avec d’autres entreprises ou avec des administrations, contre 43 % de leurs homologues dans le secteur de la finance (également objet de l’étude Ponemon), lequel se caractérise par des délais de détection et de blocage nettement inférieurs.
Le partage d’informations sur les menaces de sécurité avec d’autres entreprises, y compris concurrentes, est un facteur essentiel dans la lutte contre les cyber-attaques que de nombreux secteurs d’activité doivent améliorer. Le secteur de la finance y excelle et le pratique traditionnellement pour combattre la fraude.
Un autre aspect intéressant est qu’un tiers des sites de e-commerce étudiés s’efforcent de réduire les temps de détection et de blocage des attaques en mettant en place une « équipe de chasse ». Cette méthode consiste à se focaliser sur les cibles « de grande valeur » au sein de l’entreprise et sur les chemins menant à ces cibles, en faisant appel à des analystes qui recherchent activement des anomalies pouvant indiquer la présence d’une menace jusque-là non détectée. Elle permet à une entreprise de compléter ses processus existants de réponse aux incidents de sécurité, dictés par les événements, avec une approche plus proactive du problème.
Cette chasse aux menaces peut contribuer à réduire les délais de détection et de blocage de celles qui réussissent à franchir les contrôles préventifs mais, pour être viable, elle nécessite des solutions permettant aux analystes de visualiser les tendances en matière de menaces et de trafic, en délaissant les présentations sous forme de tableau qui n’offrent que deux dimensions à la fois, courantes dans les solutions de sécurité actuelles.
Ce qui est manifeste, aussi bien au vu de l’étude que de ‘état du paysage des menaces de sécurité, c’est que les acteurs malveillants sortent bien plus souvent vainqueurs qu’il n’est souhaitable. Pour y remédier, il ne faut plus s’en remettre aux seules techniques préventives. Même si les technologies de détection plus récentes auront toujours un rôle important à jouer, elles doivent être assorties d’investissements en ressources humaines et en processus dédiés. Les auteurs des attaques contre lesquels les entreprises luttent sont eux aussi des êtres humains, qui innovent en permanence. Le partage d’informations sur les menaces de sécurité ainsi que leur “chasse” sont nécessaire les dispositifs de sécurité périmétriques étant la plupart du temps insuffisants.