samedi 4 janvier 2014

Le coût de la cybercriminalité

Plusieurs cabinets d'experts ont publié récemment leurs études et sondages sur la cybercriminalité (pour faire court tout ce qui concerne les risques liés à la sécurité informatique). Les chiffres sont édifiants. Voyez plutôt.
Statistiques
Selon le Ponemon Institute, la cybercriminalité coûte une véritable fortune aux entreprises, un montant qui se chiffre en centaine de milliers voire en millions de dollars chaque année pour les grandes d'entre elles !
Une enquête de l'opérateur américain Verizon révèle qu'entre 2010 et 2011, les brèches informatiques ont augmenté de 4000%, avec 174 millions de brèches enregistrées en un an !
Une étude du Ponemon Institute basée sur un sondage réalisé par Symantec précise qu'en 2011 les brèches de sécurité ont coûté 5.5 millions de dollars par incident aux entreprises américaines.
Selon un rapport sur les fraudes et abus publié en 2012 par l'ACFE, à l'échelle mondiale, la fraude informatique a coûté 3.5 mille milliards de dollars par an aux entreprises, auxquels il faut ajouter les coûts de sécurité informatique afin que les entreprises se conforment aux exigences légales et au caractère privé des données personnelles numériques.
D'ici 2015, le gouvernement américain va investir 10.5 milliards de dollars dans la sécurité informatique.
Conséquence de cette cybercriminalité croissante, selon les analystes, à l'échelle mondiale le marché de la sécurité informatique est en pleine expansion et s'élève à 140 milliards de dollars par an !
Ces montants sont faramineux et mettent en lumière toute la gravité du problème et l'importance des moyens mis en jeu pour éliminer ou neutraliser cette cybercriminalité qui nous concerne tous.

Cliquer sur l'image pour lancer un reportage réalisé par l'AFP et
publié sur YouTube sur la simulation d'une cyberattaque massive aux Etats-Unis.
Selon l'étude du Ponemon Institute publiée en 2013, les risques liés au cybercrime sont distribués comme suit (par ordre d'importance, les pourcentages étant basés sur des sondages effectués auprès de 60 grandes entreprises américaines entre 2010 et 2013 ) :
- L'injection de codes malicieux : 21 à 26% selon les années,
- Déni de services : 17 à 21%
- Les attaques par Internet : 12 à 15%,
- Le phishing et le social engineering : 7 à 12%,
- Le vol de matériel informatique : 9 à 17%
- Le personnel malveillant : 8 à 11%
- Les malwares : 4 à 7%
- Les virus, vers et Troyens : 5 à 10%
- Les Botnets : 4 à 5%.
La remise en état d'un système varie en moyenne entre 3 jours pour éradiquer un virus, 2 semaines pour identifier et supprimer la source de phishing et de social engineering mais peut dépasser 65 jours pour identifier une personne malveillante.
Selon le sondage du Ponemon Institute, la cybercriminalité représente entre 20% et 30% des frais d'une activité métier d'une grande entreprise.
A titre privé, le cybercrime est tout aussi conséquent. Selon une sondage réalisé par Symantec en 2013 auprès de 13000 adultes dans 24 pays, bien que le nombre d'adultes ayant été victimes de cybercrime ait diminué, le coût moyen par victime a augmenté.
Le prix global de la cybercriminalité privée est de 113 milliards de dollars par an, les frais pour la victime s'élevant à 298$ soit 218€ (en frais de réinstallation, rachat de logiciel ou de matériel, etc), une augmentation de 50% par rapport à 2012. C'est une valeur inquiétante considérant la crise économique globale.
Selon Symantec, en 2012, en France plus de 10 millions de personnes ont été victimes de cyberattaques, engendrant près de 2.5 milliards d’euros de pertes.
Si ces chiffres paraissent abstraits et loin de nos préoccupations, voici deux faits récents bien tangibles qui doivent nous alerter. La dernière cyberattaque d'envergure en France remonte au 16 janvier 2014 où les comptes de 800000 clients Orange ont été piratés.
En Pologne, en décembre 2013 et janvier 2014,  des routeurs privés ont été la cible de pirates informatiques et leur ont permis d'accéder aux comptes bancaires en ligne des clients.
En moyenne, au cours des dernières années, en Belgique 334 entreprises ont été victimes quotidiennement de cyberattaques et 30% des internautes furent victimes de piratage !
Dans le monde, chaque seconde 18 internautes sont victimes d’actes malveillants en ligne, soit plus d’un million et demi de personnes chaque jour !


Les exploits et vulnérabilités Zero Day
Ces dernières années on dénombre également une augmentation des vulnérabilités "Zero day". Ce terme fait référence à des vulnérabilités ou de failles inconnues et non documentées (non corrigées) dans les logiciels que les cyberpirates découvrent et exploitent. Cette stratégie d'attaque est à l'origine du substantif "exploit" qui caractérise un programme malicieux exploitant une vulnérabilité Zero Day.
Notons qu'originellement, un "0-day" est un jour durant lequel un logiciel ou un film est copié illégalement avant sa distribution.
En 2013, on a comptabilisé plus de 20 jours Zero Day contre une seule journée en 2006, ce qui signifie que les failles dans les systèmes sont de plus en plus exploitées et donc que les sociétés comme le public sont de plus en plus victimes d'actes de piratage informatique.
En pratique, le NSS Labs estime que chaque jour les cybercriminels et les agences gouvernementales de renseignements disposent d'au moins 100 exploits dont ils sont les seuls à connaître l'existence.
Selon Symantec, en moyenne, les hackers ont 10 mois pour exploiter une vulnérabilité dans un logiciel avant que le public et les développeurs aient conscience de la brèche.
Mais les développeurs ne restent pas les bras croisés. Ainsi, rien qu'en décembre 2013, Microsoft a publié 11 bulletins de sécurité afin de fixer 24 vulnérabilités dont 5 critiques sur ses applications serveurs.
Précisons que les hackers s'attaquent avant tout aux produits qui ne sont plus supportés par les développeurs (par exemple Windows XP qui ne sera plus supporté en avril 2014) et qui deviennent donc vulnérables face aux nouvelles méthodes d'intrusions et l'utilisation de systèmes de pénétration de plus en plus puissants.
La NSA, plus que quiconque, a bien conscience de l'intérêt que représentent ces vulnérabilités Zero Day.
Ainsi, dans les documents divulgués en 2013 par Edward Snowden, on apprend que la NSA a investi plus de 25 millions de dollars en 2013 pour avoir la liste des vulnérabilités de plusieurs développeurs.
Comme l'a confirmé Frank Shaw, porte-parole de Microsoft, lors d'une interview à un journaliste de Bloomberg en 2012, la NSA et d'autres agences gouvernementales connaissent même des bugs et des vulnérabilités Zero Day avant que les développeurs ne communiquent les patchs et autres correctifs au public.
Cela permet d'une part aux experts d'évaluer le risque et d'autre part de permettre aux agences de renseignements de conserver un peu d'avance sur les pirates pour mener à bien leurs missions.
La société française Vupen Security a d'ailleurs vendu le fruit de ses recherches à la NSA, ce qui a fait scandale, la France comme l'Europe considérant que la divulgation d'exploit est une infraction pénale.
Néanmoins, certains avocats jouent sur le sens des mots comme divulgation/collaboration, usage privé/public ou exploit/malware pour mieux contourner l'esprit de la directive et continuer à collaborer avec la NSA qui rétribue très bien ses informateurs, leur permettant même d'accéder à des documents classifiés. Finalement, Vupen a été condamnée en Cour d'Appel et en Cassation.
Identité des cyberpirates
Les auteurs de ces actes malveillants ne sont pas nécessairement des pirates "professionnels" mais peuvent se cacher dans n'importe quelle personne (généralement plutôt jeune) passionné d'informatique et de défis, ce qui rend la lutte plus difficile car dans ce cas tout le monde est potentiellement suspect et tous les actes, même a priori anodins, doivent être pris en considération par les responsables du risque et de la sécurité.
Devant les conséquences parfois graves que peuvent provoquer ces cyberattaques pour les entreprises en terme d'interruption de service, en frais de remise en état des systèmes et de réputation, toutes ces formes d'activités malveillantes sont considérées comme des crimes et punies comme tels.


Pas étonnant dans ces conditions que de grands constructeurs tels Unisys proposent des systèmes informatiques "furtifs", invisibles du monde extérieur et segmentent les data centers afin de réduire les risques.
Dans le contexte actuel de l'informatique globale, évoquer la "stealth technology" n'est pas un jargon marketing ou du gadget mais une réponse calculée et une nécessité face à la complexité et au nombre grandissant de cyberattaques.
Rapports publiés récemment

Aucun commentaire :

Enregistrer un commentaire