Après avoir subi des attaques, 90 % d’entre elles améliorent les technologies et les processus de défense contre les menaces. 38 % le font en séparant les fonctions IT et sécurité, 38 % en sensibilisant davantage leurs salariés aux questions de sécurité et 37 % en déployant des méthodes de réduction des risques.

La 10ème édition du rapport souligne les défis et les opportunités auxquels les équipes de sécurité sont confrontées pour endiguer l’évolution incessante de la cybercriminalité et de ses modes d’attaque. Les RSSI citent les contraintes budgétaires, le manque de compatibilité des systèmes et la pénurie de personnel qualifié comme principales barrières au progrès de leurs stratégies de sécurité. Ils révèlent par ailleurs que leurs départements sont devenus des environnements de plus en plus complexes. 65 % des entreprises et organisations utilisent entre 6 et plus de 50 produits de sécurité, ce qui augmente le risque de faille de sécurité.
L’ACR de Cisco révèle que, pour exploiter ces brèches, les cybercriminels recourent à nouveau aux vecteurs d’attaques « classiques » tels que les adwares et les spams, dont les niveaux d’activités atteignent ceux de 2010. Les spams représentent environ les deux-tiers (65 %) des emails dont 8 à 10 % sont considérés comme malveillants. Le volume mondial des spams augmente, se propageant souvent par le biais de botnets.

Aujourd’hui, pouvoir mesurer l’efficacité des moyens de sécurité face à ces attaques revêt une grande importance. Accélérer la détection d’une attaque est vital pour fermer l’espace opérationnel de l’attaquant et minimiser les dommages sur un système résultant de l’intrusion. Cisco progresse dans la réduction du temps de détection d’une attaque, c’est-à-dire la fenêtre de tir entre la mise en danger d’un système et la détection de la menace. Cisco a réussi à abaisser le temps de détection de 14 heures en moyenne, au début 2016, à 6 heures au second semestre**.

Le coût des cyber-menaces pour les entreprises : perte de clientèle et de revenus
Le rapport annuel de Cisco met en lumière l’impact financier potentiel des attaques sur les entreprises de toutes tailles. Plus de 50 % d’entre elles ont fait face à une mise en lumière sur la place publique de leur faille de sécurité. Les systèmes opérationnels et financiers ont été les plus touchés, suivis par la notoriété de la marque et la fidélisation des clients. Pour les entreprises ayant subi des attaques, les conséquences sont fortement dommageables :
· 22 % d’entre elles ont perdu des clients, 40 % ont vu partir plus de 20 % de leur base clients.
· 29 % ont enregistré des pertes de revenus, et parmi elles 38 % ont perdu plus de 20 % de leur chiffre d’affaires.
· 23 % sont passées à côté d’opportunités commerciales et 42 % d’entre elles en ont loupé plus de 20 %.

L’activité des hackers et leurs nouveaux modes opératoires

En 2016, le piratage est devenu plus entrepreneurial. La dynamique du changement dans le paysage technologique, favorisée par la digitalisation, a offert de nouvelles opportunités aux cybercriminels. Tandis qu’ils continuent d’optimiser des techniques qui ont déjà fait leur preuve, ils emploient aussi de nouveaux modes d’action qui reflètent la structure intermédiaire des entreprises qu’ils ciblent.
· Les nouvelles méthodes d’attaque calquent la hiérarchie des entreprises ciblées. Certaines campagnes de malvertising ont employé des brokers pour exécuter certaines tâches de façon malveillante. Les attaquants peuvent ainsi agir plus vite, conserver leur espace opérationnel et éviter d’être détectés.
· Les opportunités et risques liés au Cloud. 27 % des applications Cloud introduites par des salariés et des tiers censées mener à de nouvelles opportunités commerciales et accroître l’efficacité, ont été signalées à haut risque et ont engendré d’importants problèmes de sécurité.
· Les anciens adwares, qui téléchargent des publicités sans l’autorisation de l’utilisateur, ont continué à se répandre en infectant75 % des entreprises et organisations sondées.
· L’utilisation des fameux kits d’exploitation des vulnérabilités, tels qu’Angler, Nuclear et Neutrino, a baissé, notamment parce que leurs propriétaires ont été arrêtés en 2016. Or, de nouveaux acteurs plus petits ont déjà pris le relais.

Sécuriser l’entreprise et rester vigilant

Le rapport Cisco 2017 indique que 56 % des alertes de sécurité donnent lieu à une investigation et que moins de la moitié des alertes avérées sont corrigées. Les défenseurs, confiants dans leurs outils, et trop occupés à résoudre les problèmes de complexité et de main d’œuvre, laissent des fenêtres de tir ouvertes que les attaquants utilisent à leur profit. Afin de prévenir, détecter et réduire les menaces, et ainsi minimiser les risques d’attaques, Cisco conseille de :
· Faire de la sécurité une priorité : la direction doit s’approprier la sécurité et en faire une priorité en sensibilisant les équipes et en la finançant.
· Mesurer la discipline opérationnelle : passer en revue les pratiques de sécurité, apporter des correctifs, contrôler les points d’accès aux systèmes réseau, les applications, les fonctions et les données.
· Tester l’efficacité de la sécurité : définir des mesures claires, les utiliser pour valider et améliorer les pratiques de sécurité définies.
· Adopter une démarche de défense intégrée : inscrire l’intégration et l’automatisation en haut de la liste des critères d’évaluation pour augmenter la visibilité, rationnaliser l’interopérabilité, réduire le temps de détection et stopper les attaques. Les équipes de sécurité pourront alors se concentrer sur la recherche et la résolution des véritables menaces.

« Aujourd’hui, la cyber-sécurité est un business. Il s’agit d’un nouveau mode de banditisme moderne qui s’appuie sur les évolutions technologiques. Pour y remédier, des progrès constants sont nécessaires. Ils doivent notamment passer par la formation des individus à la cyber-sécurité, la recherche et l’innovation dans les technologies de sécurité du futur, etc. ainsi que par des fondamentaux tels que la sécurité du réseau », précise Alain Dubas, Directeur des Opérations de Cyber-sécurité France et Europe du Sud – Cisco.

Le parallèle entre 10 ans de rapport annuel dédié à la cyber-sécurité

Les données et les connaissances de Cisco

La cyber-sécurité a fondamentalement changé depuis l’édition du premier rapport annuel de Cisco sur le sujet en 2007. La technologie a, à la fois, aidé les attaques à être de plus en plus destructrices et les méthodes de défense à être de plus en plus sophistiquées. Or, dans ce contexte, la question de la sécurité n’a rien perdu de son importance.
· En 2007, l’ACR indiquait que le web et les applications d’entreprise étaient des cibles, souvent visées via l’ingénierie sociale ou des infractions réalisées par l’utilisateur. L’édition 2017 indique que les attaques ciblant les applications Cloud et les spams ont explosé.
· Il y a 10 ans, les attaques de type malwares étaient en hausse, et le crime organisé en tirait avantage. Dans l’économie parallèle d’aujourd’hui, les attaquants sont des entrepreneurs de la cybercriminalité, offrant à leurs clients potentiels des options alléchantes. De nos jours, quiconque peut devenir cybercriminel ; nul besoin de formation en sécurité, il lui suffit de se procurer dans le commerce des exploit kits.
· Le rapport 2007 avait analysé 4 773 alertes de sécurité, décelées par le système IntelliShield de Cisco. Ce chiffre correspondait aux prévisions établies par la National Vulnerability Database. Le rapport de 2017 précise que le nombre d’alertes de vulnérabilité rapportées par les fournisseurs a augmenté de 33 %, soit 6 380 alertes de sécurité. Cisco estime que cette augmentation est due à une plus grande sensibilisation aux questions de sécurité, à une plus grande surface d’attaque et à l’activité de l’adversaire.
· En 2007, Cisco conseillait aux défenseurs d’adopter une approche globale de la sécurité en intégrant outils, processus et politiques de sécurité, et en formant les parties prenantes à protéger leurs environnements. Les entreprises se sont tournées vers des fournisseurs pour avoir une réponse exhaustive, souvent malheureusement en vain car ces derniers ont prescrit des solutions fragmentaires. L’édition 2017 illustre le fait que les RSSI se débattent avec la complexité de leurs environnements. Cisco répond à cette situation avec une approche architecturale de la sécurité, en aidant ses clients à tirer le meilleur parti de leurs investissements existants, en leur donnant des moyens de défense tout en en diminuant la complexité.