Plus nombreuses, les PME sont aussi les entreprises les plus menacées. Le point de vue de ESET au départ du DBIR de Verizon, une mine d’or d’informations

69 % des PME ont signalé une violation ou une forte indication de violation au cours des 12 derniers mois, soulignant la nécessité d’une action urgente. Compte tenu que, dans la plupart des pays industrialisés, les PME représentent plus de 99 % des entreprises, une majorité d’emplois dans le secteur privé et environ la moitié des revenus, leur sécurité mérite plus d’attention. Or, ce n’est pas le cas pour les responsables informatique ou les patrons de petites organisations, le défi c’est de faire plus avec moins.

Comme le révèle le récent rapport ESET SMB Digital Security Sentiment Report, avec moins de ressources pour atténuer les cyber-risques, l’accent doit être mis sur la hiérarchisation efficace des cibles. Où les attaquants concentrent-ils leurs efforts ? Qui sont-ils ? Réussissent-ils vraiment ? Bien qu’il existe diverses sources d’informations, l’une des analyses les plus rigoureuses du paysage des menaces est le rapport annuel Verizon Data Breach Investigations Report (DBIR). Sa dernière édition est une mine d’or d’informations que les PME peuvent utiliser pour améliorer leur stratégie sécuritaire.

Les surfaces d’attaque convergent

Le DBIR 2023 est basé sur l’analyse de 16.312 incidents, dont 5.199, environ un tiers, ont été confirmés comme violations de données. Cette 16^ème édition montre que les surfaces d’attaque convergent. Malgré leurs nombreuses différences, selon Verizon, les PME et les grandes entreprises se ressemblent de plus en plus ; elles utilisent toujours plus les mêmes infrastructures et services, tels que les logiciels basés cloud. Cela signifie que leurs surfaces d’attaque ont plus en commun qu’auparavant. En termes de facteurs tels que les types d’acteurs menaçants, les motivations et les schémas d’attaque, les auteurs du rapport admettent « qu’il y a si peu de différence en fonction de la taille de l’organisation que nous avions du mal à faire une distinction. »

À titre d’exemple, les intrusions système, l’ingénierie sociale et les attaques d’applis Web de base représentent aujourd’hui 92 % des violations des PME, contre 85 % pour les entreprises comptant plus de 1 000 employés. De plus, 94 % des acteurs de la menace sont externes, contre 89 % dans les grandes organisations, et 98 % des violations sont motivées par des raisons financières contre 97 %.

Les attaquants externes sont la plus grande menace

Dans l’ensemble, les pirates tiers représentent aujourd’hui 83 % des violations, et 94 % des attaques des PME. Comparé à 19 % des violations globales où des acteurs internes étaient responsables, et à seulement 7 % pour les PME. 2 % des violations des PME peuvent être attribuées à des sources « multiples », ce qui, selon Verizon, signifie une combinaison d’internes, d’externes et de partenaires travaillant en collusion.

95 % des violations sont motivées par des raisons financières ; ce pourcentage atteint 98 % pour les attaques de PME. Cela démontre que le crime organisé, par opposition aux États-nations, est la principale menace pour les PME.  L’espionnage ne représente que 1 % des violations des PME.

Les humains, le maillon le plus faible

La principale méthode pour entrer dans les réseaux de victimes est le vol d’identifiants (49 %), suivi du phishing (12 %) et de l’exploitation des vulnérabilités (5 %). Cela indique que les employés sont réellement un maillon faible dans la chaîne de sécurité. Ils jouent un rôle dans 74 % des violations. Cela peut être dû à l’utilisation d’informations d’identification volées et au phishing, ou à d’autres méthodes telles qu’une mauvaise configuration données sensibles. Cela correspond aussi au rapport 2022 ESET SMB Digital Security Sentiment Report, qui constate que le manque de cyber-sensibilisation des employés (84 %) est le principal facteur de risque.

Le nombre de « faux-semblant » (qui, selon Verizon, s’apparente au BEC (Business Email Compromise) a doublé depuis le précédent DBIR. Le faux-semblant devient donc une menace plus importante que le phishing, bien que ce dernier soit plus répandu dans les violations de données réelles. Dans le BEC, la victime est amenée à virer de grosses sommes sur un compte bancaire contrôlé par l’attaquant. Cette fraude est un autre signe de l’importance du facteur humain dans les attaques. Bien qu’il n’y ait pas de statistiques spécifiques concernant les PME, le montant moyen volé via BEC est passé à 50 000 USD.

Les ransomwares, une menace majeure dont les coûts augmentent

Les rançongiciels sont désormais présents dans 24 % des violations, suite à des tactiques de double extorsion, ce qui signifient que les données sont volées avant d’être cryptées. Cela a peu changé depuis l’année dernière, mais Verizon avertit que la menace « est omniprésente parmi les organisations de toutes tailles et dans tous les secteurs ». Les coûts moyens ont plus que doublé pour atteindre 26 000 USD, et c’est probablement une sous-estimation.

Les trois principaux types d’attaques pour les violations des PME sont les intrusions système, l’ingénierie sociale et les attaques d’applis Web de base. Ensemble, elles représentent 92 % des infractions. L’intrusion système fait référence à des « attaques complexes qui exploitent des maliciels et/ou le piratage pour atteindre leurs objectifs », y compris les rançongiciels.

Utiliser le DBIR pour renforcer la cyber-sécurité  

ESET propose quelques « contrôles de bonnes pratiques » qui peuvent aider à atténuer les attaques par intrusion dans le système.

• Des programmes de sensibilisation et de formation à la sécurité conçus pour atténuer diverses menaces, y compris l’interne.
• Processus de récupération de données pouvant aider suite à des attaques de rançongiciels.
• Gestion du contrôle d’accès, y compris les processus et outils pour créer, attribuer, gérer et révoquer les informations d’identification et les privilèges d’accès. Cela peut inclure l’authentification multifacteur (MFA).
• Gestion de la réponse aux incidents pour détecter et répondre rapidement aux attaques.
• Sécurité des logiciels d’application pour prévenir, détecter et corriger les failles logicielles.
• Tests de pénétration conçus pour améliorer la résilience.
• Gestion des vulnérabilités pour atténuer d’autres types de menaces telles que les attaques d’applis Web.
• Détection et réponse aux terminaux (EDR), détection et réponse étendues (XDR) ou détection et réponse gérées (MDR), que 32 % des PME utilisent et que 33 % comptent utiliser au cours des 12 prochains mois, selon ESET.

Ceci n’est pas une liste exhaustive. Mais c’est un début… et un début c’est souvent la moitié du travail !