Ce que le dernier rapport de Verizon sur les violations de données nous dit sur le paysage des menaces ISMS.online

Ce que le dernier rapport de Verizon sur les violations de données nous dit sur le paysage des menaces

Par Phil Muncaster • 4 Juin 2024

Les tendances de l’industrie vont et viennent. Mais l’un des éléments incontournables du paysage de la cybersécurité au cours des 17 dernières années a été le rapport Verizon Data Breach Investigations Report (DBIR). C'est un analyse rigoureuse de violations de données et d'incidents réels par Verizon et ses partenaires, qui fournit l'un des instantanés les meilleurs et les plus détaillés du paysage actuel des menaces. Verizon prétend à lui seul traiter 34 XNUMX milliards de journaux chaque année.

Alors, quelle est l’histoire pour 2023 ? Il est à la fois rassurant et quelque peu déprimant de constater que – malgré les inquiétudes quant au rôle de l’IA dans la cybercriminalité – ce sont les suspects habituels de l’exploitation des vulnérabilités, des risques liés à la chaîne d’approvisionnement et des erreurs humaines qui continuent de tourmenter les entreprises. Déprimant, car les organisations n'ont pas encore réussi à relever ces défis, mais rassurant parce que les cadres et normes de bonnes pratiques offrent une voie toute faite pour atténuer ces risques.

Nouveau rapport, mêmes vieilles violations

Cette année, le rapport s'appuie sur l'analyse de 30,458 10,626 incidents de sécurité et de XNUMX XNUMX violations confirmées, soit le double du nombre d'il y a un an. Cela ne veut pas dire qu’il y a eu davantage de violations en soi ; simplement que le rapport contient plus de données et est donc probablement une représentation plus précise de ce qui se passe réellement. Alors que révèle-t-il ? Trois thèmes interconnectés ressortent :

1) Les vulnérabilités montent en flèche

Le DBIR note une augmentation de 180 % de l’exploitation des vulnérabilités comme cause première des violations de données. Elles représentent désormais 14 % de toutes les violations, selon Verizon. Cette augmentation s’explique principalement par l’exploitation croissante des bugs du jour zéro par les acteurs des ransomwares : pensez à MOVEit. Cette campagne de l'année dernière a conduit à compromis de près 3,000 95 organisations et XNUMX millions de clients en aval, dont beaucoup dans les secteurs de l'éducation, de la finance et des assurances.

Il est vrai que les administrateurs système ont une tâche ingrate. Un nombre record de CVE a été publié dans la base de données nationale sur les vulnérabilités (NVD) pour le sept dernières années. En 2023, on comptait plus de 29,000 XNUMX vulnérabilités. Et les acteurs malveillants ciblent ces vulnérabilités à une vitesse croissante. Un quart est exploité le jour de leur publication. Pourtant, les défenseurs des réseaux doivent faire mieux. Verizon estime qu'il faut environ 55 jours pour corriger 50 % des vulnérabilités critiques répertoriées dans le catalogue de vulnérabilités exploitées connues (KEV) de la Cybersecurity Infrastructure and Security Agency (CISA), une fois que les correctifs sont disponibles. Le délai médian pour détecter une exploitation massive de ces bugs est de cinq jours.

De toute évidence, les organisations n’exécutent toujours pas de programmes automatisés de gestion des correctifs basés sur les risques, ce qui les aiderait à prioriser les mises à jour et à améliorer la résilience des systèmes critiques. Les bugs du jour zéro, en revanche, sont plus difficiles à bloquer purement et simplement. Mais des mesures d’atténuation peuvent être mises en place pour réduire leur impact, notamment la segmentation du réseau ainsi que la détection et la réponse continues.

2) Les tiers constituent un vecteur d’attaque majeur

Une partie de la raison pour laquelle l’exploitation des vulnérabilités est en plein essor en tant que vecteur d’accès initial est due aux produits bogués. Cela nous amène au deuxième thème : le risque impliquant des tiers. Ici, Verizon compte des partenaires commerciaux (tels que des cabinets d'avocats ou des entreprises de nettoyage), des processeurs de données tiers ou des dépositaires tels que des fournisseurs de services gérés et des fournisseurs de logiciels (y compris open source). L’étude révèle une augmentation de 68 % des violations impliquant des tiers de ce type, de sorte qu’elles représentent désormais 15 % du total – principalement dues à des extorsionnistes utilisant des exploits Zero Day dans leurs attaques.

« Nous recommandons aux organisations de commencer à chercher des moyens de faire de meilleurs choix afin de ne pas récompenser les maillons les plus faibles de la chaîne », affirme le rapport. « À une époque où la divulgation des violations devient obligatoire, nous pourrions enfin disposer des outils et des informations nécessaires pour nous aider à mesurer l’efficacité de la sécurité de nos partenaires potentiels. »
Ces résultats sont repris par une nouvelle étude d'ISMS.online, The State of Information Security Report 2024. Elle révèle que la grande majorité (79 %) des professionnels de la sécurité de l'information admettent que le risque d'approvisionnement s'est traduit par au moins un incident de sécurité important au cours de la période. les 12 derniers mois.

3) Les humains restent un facteur de risque majeur

Le constat le moins surprenant cette année est peut-être que les employés sont sans doute la principale cause de violations de données, que ce soit directement ou indirectement. La plupart (68 %) des violations analysées impliquent un « élément humain non malveillant », ce qui signifie qu'une personne a commis une erreur ou a été victime d'une attaque d'ingénierie sociale. Ce chiffre est pratiquement inchangé par rapport à l’année précédente. L’ingénierie sociale signifie soit du phishing, soit, plus probablement, du faux-semblant – ce qui est lié à la compromission des e-mails professionnels (BEC). Ces derniers représentent désormais environ un quart des incidents à motivation financière, comme il y a un an.

L'ingénierie sociale contribue également à une conclusion remarquable de l'EMEA : la moitié (49 %) de toutes les violations proviennent désormais de l'intérieur des organisations, plutôt que d'acteurs externes. L’ingénierie sociale est également à l’origine du maintien au premier rang des « informations d’identification » comme type d’action initiale en cas de violation (24 %). Les informations d’identification sont compromises dans la moitié (50 %) des attaques d’ingénierie sociale. Et bien qu'ils soient parfois volés par des tiers sans que ce soit la faute de l'individu, il arrive parfois que des informations d'identification faibles soient exploitées par des attaquants par force brute lors de violations. Cela rejoint une fois de plus le rapport ISMS.online, qui révèle qu'un tiers (32 %) des personnes interrogées ont été victimes d'attaques d'ingénierie sociale au cours des 12 derniers mois. Quelque 28 % citent des menaces internes.

Il y a une petite raison d'être optimiste quant à l'amélioration de la sensibilisation des utilisateurs, dans la mesure où ils semblent de mieux en mieux signaler le phishing. Verizon constate que 20 % des utilisateurs identifient et signalent le phishing lors d'engagements de simulation, et 11 % de ceux qui cliquent le signalent également. Cependant, le fait que le chiffre de 68 % d’erreurs humaines non malveillantes n’ait pas changé depuis un an montre qu’il reste encore beaucoup de travail à faire.

Temps d'action

Cassius Edison, responsable des services professionnels chez Closed Door Security, prévient que le délai médian de détection de cinq jours pour les vulnérabilités largement exploitées est encore trop long.

« Un délai de détection médian de cinq jours présente des risques importants, donnant potentiellement aux acteurs malveillants suffisamment de temps pour exploiter les vulnérabilités », explique-t-il à ISMS.online. « Même si les solutions visant à améliorer la vitesse de détection, telles que l’amélioration des renseignements sur les menaces et la surveillance en temps réel, entraîneraient des coûts, la réalisation d’une évaluation approfondie des risques peut aider à prioriser efficacement ces investissements. »

Jordan Schroeder, responsable du RSSI chez Barrier Networks, ajoute que 55 jours pour remédier au problème sont également beaucoup trop lents pour les organisations qui souhaitent sérieusement contenir les cyber-risques.

"Les systèmes qui font partie de l'ensemble qui sont massivement exploités devraient être mis à jour dès que possible", a-t-il déclaré à ISMS.online. « Un système OT/ICS qui n’a pas d’accès à Internet présente un risque moindre d’exploitation. Il faut donc entreprendre une évaluation basée sur les risques de ce qui doit être mis à jour et de la rapidité avec laquelle cela doit être réalisé.
Schroeder soutient également l'utilisation de normes et de cadres de bonnes pratiques, à condition que les RSSI acceptent qu'ils ne constituent pas une panacée.

« Ils fournissent une base très importante à toute organisation pour élaborer un programme de sécurité qui fonctionne pour elle et pour garantir que les facteurs importants sont pris en compte », affirme-t-il. «Je commence toujours à concevoir ou à améliorer une stratégie ou un plan de sécurité avec les cadres existants. Je n’obtiens pas toujours une stratégie ou un plan qui correspond parfaitement à ces cadres. Mais à la fin du processus, l’organisation aura soigneusement examiné chaque point et créé quelque chose qui tient compte de tout.

Une combinaison de normes peut aider à combler les lacunes qui existent dans les offres individuelles, dit-il.

« Une organisation peut améliorer considérablement sa capacité à atténuer les problèmes courants mis en évidence dans ce rapport en s'appuyant consciencieusement et intelligemment sur un mélange de cadres et de normes qui conviennent bien à l'organisation, et en les affinant soigneusement pour créer une norme puissante qui correspond le mieux à l’organisation », conclut Schroeder.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 6 Janvier 2026

Cinq tendances en matière de sécurité et de conformité à surveiller en 2026

À quoi ressembleront les 12 prochains mois pour les professionnels de la cybersécurité et de la conformité ? Nous avons passé au crible l’actualité et analysé les prévisions du secteur…

Phil Muncaster

La cyber-sécurité 11 December 2025

Une faille de sécurité liée à l'IA agentique est-elle inévitable en 2026 ?

Trois ans se sont peut-être écoulés depuis le lancement de ChatGPT, qui a donné le coup d'envoi à une nouvelle course technologique, mais tous les regards sont désormais tournés vers l'IA agentive. Ses partisans affirment qu'elle...

Phil Muncaster

Sécurité de l'Information 9 December 2025

Une année de conformité : cinq leçons apprises en 2025

Une année de conformité : cinq leçons tirées de 2025

Ces douze derniers mois ont une fois de plus démontré que le paysage de la cybersécurité est rarement à l'abri des incidents. Les failles de sécurité majeures coûtent cher aux organisations…

Phil Muncaster