En matière de cybercriminalité, les conséquences économiques subies par les entreprises restent un facteur difficile à évaluer. Cependant, PwC a relevé ce défi et vient de publier les résultats de son 19e Global Economic Crime Survey.
L’étude révèle le genre de chiffres qui attirent l’attention des cadres dirigeants ainsi que des actionnaires dans le cas de sociétés publiques. Selon l’enquête, « une poignée de personnes interrogées (environ 50 entreprises) ont déclaré avoir subi des pertes de plus de 5 millions de dollars, et parmi elles, presque un tiers a mentionné des pertes supérieures à 100 millions de dollars liées à la cybercriminalité ».
Ce qui rend ce rapport différent est qu’au lieu d’essayer d’estimer les coûts des cyberincidents, PwC a recueilli l’opinion des hauts responsables. Les cadres dirigeants et chefs d’unités opérationnelles représentent une grande partie des plus de 6 000 personnes interrogées. En d’autres termes, il s’agit d’une population qui comprend véritablement les détails opérationnels de son entreprise et qui se trouve dans la meilleure position possible pour apprécier la véritable incidence économique de la question.
Cybercriminalité et pertes économiques
La principale chose à retenir de l’enquête PwC de cette année est que la cybersécurité a atteint le deuxième rang de la liste globale des crimes économiques qui frappent les entreprises. Désormais, la cybercriminalité est surpassée uniquement par le traditionnel détournement de fonds, à savoir le vol d’argent. En menant son enquête auprès des seuls directeurs généraux, PwC a découvert que 61 % de cette population de décideurs sont préoccupés par les questions de cybersécurité.
Cela signifie que les dirigeants au plus haut niveau ressentent les effets de l’accroissement du piratage et d’autres cyberactivités au cours de ces quelques dernières années.
Une réponse inadéquate
Le rapport de PwC offre des statistiques tout aussi inquiétantes sur la manière dont les entreprises font face à la cybercriminalité. Seuls 37 % des répondants disposent d’un plan d’intervention complet en cas d’incident. Un des problèmes pour rendre ces plans opérationnels est le manque de qualification des effectifs. Le rapport révèle que 40 % seulement des entreprises interrogées disposent d’une équipe d’intervention entièrement formée.
Encore plus frappant peut-être est le manque de responsables informatiques de haut niveau aptes à faire face à ces attaques et à leurs conséquences. Moins de la moitié des équipes d’intervention d’urgence comprennent des responsables informatiques. Pour information, ces équipes sont principalement composées de membres de la direction générale (46 %), de la direction juridique (25 %) et de la direction des ressources humaines (14 %).
PwC indique que les réactions aux violations de données non entièrement coordonnées avec tous les acteurs appropriés (plus particulièrement les acteurs informatiques) « peuvent aussi limiter la capacité des entreprises à examiner toutes les zones ayant effectivement fait l’objet d’une violation, ce qui est particulièrement critique étant donné l’utilisation fréquente de techniques de diversion par les pirates ».
En l’absence d’expertise informatique initiale, PwC remarque que les informations d’analyse technique sont négligées et peut-être même perdues.
Une défense véritable
Le rapport PwC se montre également très sévère à propos des autres sources qui font que la réponse aux cybermenaces est inadéquate : beaucoup de points cruciaux sont gérés dès le départ sur de mauvaises bases ! Quelques erreurs de sécurité particulièrement saillantes révélées par le rapport comprennent de mauvaises configurations système, des contrôles inadéquats et d’autres « fautes directes ».
Dans le monde de la sécurité informatique, nous appelons cela la défense « block-and-tackle ». Elle vise les actions les plus faciles à effectuer telles qu’exiger des mots de passe utilisateurs plus longs, de meilleurs contrôles des comptes à privilèges et des accès plus stricts aux fichiers. Comme le rappelle le rapport de PwC, lorsque vous partez sur de mauvaises bases, vous êtes condamné à subir des pertes économiques.
Le rapport recommande une défense multicouche comprenant l’implication des plus hauts niveaux de la hiérarchie (et même du conseil d’administration !) pour mettre en place une stratégie de cybersécurité, des évaluations de risques et des audits informatiques plus rigoureux, et implémenter des processus de supervision efficaces.
La réponse de Varonis
Quand vous vous occupez de sécurité des données aussi longtemps que nous, les recommandations de PwC n’ont rien de contestable. De meilleures évaluations de risques, une protection des données améliorée et une supervision renforcée constituent nos principaux centres d’intérêt depuis les débuts de Varonis. Cependant, à la différence des autres acteurs du monde de la sécurité, nous croyons que le système de fichiers est l’endroit où ces idées doivent être mises en œuvre.
Aujourd’hui, la plupart des violations concernent des vols de données non structurées. En fait, nous apprenons presque chaque jour de nouvelles et sérieuses atteintes à la protection des données. Celles-ci comportent des vols de mots de passe, de numéros de carte de crédit ou d’adresses électroniques se trouvant sous forme de texte en clair dans certains fichiers. Dans de nombreux cas, les attaquants passent facilement les défenses externes par phishing ou injection. Une fois à l’intérieur, ils ont largement accès à ces données sensibles disséminées dans l’ensemble du système de fichiers.
Et comme le montre clairement le rapport PwC, ces données s’avèrent précieuses pour les pirates. Ce sont en effet des informations personnelles ou de propriété intellectuelle susceptibles d’être monétisées et dont le vol peut entraîner la disparition de la société. Même si les entreprises supervisent leurs réseaux à la recherche d’activités inhabituelles ou de virus connus, elles restent généralement sans moyens de détecter les plus récentes générations de malware furtifs, et de manière encore plus inquiétante, la nouvelle apparition de codes malveillants « sans malware ».
En résumé, les sociétés se trouvent dans une énorme et coûteuse zone d’ombre en ce qui concerne la protection de leurs stockages d’informations non structurées. Surveiller un système de fichiers pour y détecter des activités inhabituelles (comme le recommande PwC) reste plus facile à dire qu’à faire. C’est précisément là où Varonis dispose d’une solution professionnelle permettant de résoudre ce problème. Notre logiciel DatAlert se fonde sur la technologie de l’User Behavior Analytics (UBA, analyse du comportement des utilisateurs). Celle-ci observe l’activité des utilisateurs sur les fichiers, déduit leurs comportements de référence et permet de détecter tout ce qui s’écarte de la normale.
Nous pouvons identifier les pirates à l’intérieur de vos systèmes ainsi que les collaborateurs qui deviennent des menaces et réduire les risques d’exposition des données. L’UBA est un terme relativement nouveau, mais en fait, Varonis possède déjà une longue et fructueuse expérience de cette technologie. Les recommandations et alertes de DatAdvantage constituent deux exemples qui ont fait leurs preuves depuis des années. Notre logiciel a suivi et analysé des comportements ignorés de tous : les accès des utilisateurs aux données non structurées telles que les fichiers et les courriers électroniques.
Sur le plan pratique, le rapport PwC constitue une bonne nouvelle pour la sécurité des données d’entreprise. Les directeurs généraux et autres cadres dirigeants voient désormais la cybercriminalité comme un problème stratégique qui demande des ressources importantes en personnel, en planification et en argent. Comme de nombreux autres groupes spécialisés tels que NIST ou SANS, nous convenons également avec PwC que la supervision constitue un facteur essentiel de la sécurité dans le monde réel. Nous ne pourrons sans doute jamais empêcher les pirates d’entrer, mais Varonis peut limiter les dommages et réduire le coût global des violations de données pour les entreprises.