RAPPORT 2015 SUR L ÉTAT DES MENACES DANS LE MONDE SYNTHÈSE

Transcription

1 RAPPORT 2015 SUR L ÉTAT DES MENACES DANS LE MONDE SYNTHÈSE 1

2 SYNTHÈSE PRÉSENTATION DU RAPPORT 2015 SUR L ÉTAT DES MENACES DANS LE MONDE Depuis quelques années, les professionnels de la cybersécurité ont tourné leur attention vers les APT (Advanced Persistent Threats). Et on les comprend, car non seulement ces menaces avancées s en prennent à ce que les entreprises ont de plus cher, mais elles parviennent aussi à passer très souvent à travers les mailles des solutions de sécurité les plus sophistiquées. Toutefois, en l absence de mesures de sécurité de base (gestion mature des correctifs, plans de réponses à incident, contrôles des terminaux et formation des utilisateurs à la détection des attaques par phishing ou malware), même l attaque la plus sommaire a des chances d aboutir. De fait, si un pirate est capable d exploiter une vulnérabilité connue ou de piéger sa victime par ingénierie sociale, il recourra aux techniques avancées de son arsenal, non pas pour lancer son attaque, mais pour maintenir sa présence dans l environnement infiltré. Comme le démontre ce rapport, les menaces APT ne constituent pas le seul motif de préoccupation des entreprises. D après les données recueillies par le Groupe NTT en 2014, de nombreuses entreprises seraient toujours à la merci de menaces moins sophistiquées (outils de détection des vulnérabilités, spearphishing et kits d exploits). C est pourquoi ce rapport se penche plus spécialement sur ces techniques d attaques plus courantes, et sur les moyens de les neutraliser. Un chapitre est également consacré aux risques qui pèsent sur les utilisateurs finaux, en première ligne dans les attaques par kits d exploit et spear-phishing. Ce focus sur les utilisateurs est d autant plus impératif que ce sont désormais eux qui dessinent les contours de l entreprise. 2

3 AVANT-PROPOS Si les professionnels de la sécurité répètent à l envi que nous devons tous nous préparer à une compromission de notre sécurité, peu d entreprises suivent ce conseil. D après les observations du Groupe NTT en 2014, la majorité des entreprises ne seraient pas suffisamment prêtes à faire face à un incident grave dans leur environnement. «D après les observations de NTT, la majorité des entreprises ne seraient pas suffisamment prêtes à faire face à un incident grave dans leur environnement.» La cyberveille alimente également de vifs débats, même si sa définition semble prêter à une certaine confusion chez les professionnels. Pour clarifier notre propos, nous présentons donc rapidement le concept de cyberveille tel que le Groupe NTT le définit et le met en œuvre. Un dispositif de cyberveille suffisamment efficace peut ainsi venir renforcer les systèmes de sécurité des entreprises. Les attaques par déni de service distribué (DDoS) sont généralement lancées depuis plusieurs sites. Leur objectif : rendre la cible indisponible pour ses utilisateurs légitimes. Dans notre tour d horizon des attaques DDoS observées par le Groupe NTT en 2014, nous nous concentrons sur l émergence et la disparition de certaines attaques spécifiques, ainsi que sur le mode de propagation des attaques DDoS observées sur l année. Chaque rubrique de ce rapport est assortie de recommandations permettant aux entreprises de comparer leurs dispositifs en place aux bonnes techniques qui ont fait leurs preuves sur le terrain. 3

4 PRINCIPALES CONCLUSIONS TENDANCES PAR GÉOGRAPHIE ET PAR SECTEUR Dans son édition 2015, le Groupe NTT nous livre une analyse des différentes menaces observées chez ses clients, par zone géographique et par secteur d activité. La finance reste la première cible avec 18 % de toutes les attaques recensées. «La finance reste la première cible avec 18 Le secteur financier demeure donc une cible % de toutes les attaques privilégiée et la plupart de nos interventions recensées.» en 2014 concernaient directement des fraudes aux virements bancaires, des «Les attaques à l encontre attaques de type phishing et spear-phishing. des prestataires de services Les attaques à l encontre des aux entreprises sont passées prestataires de services aux entreprises de 9 % à 15 %.» sont passées de 9 % à 15 %. Cette hausse est imputable aux relations B2B que ces prestataires entretiennent avec de nombreuses entreprises. Souvent moins bien protégées, ces cibles n en présentent pas moins un fort potentiel pour les attaquants. Dans le secteur de l éducation, les attaques par malware ont reculé, passant de 42 % à 35 %. Malgré cette baisse de 7 % par rapport à 2013, le secteur éducatif continue d attirer le tiers des attaques par malware, tous secteurs d activité confondus. 56 % des attaques perpétrées contre les clients NTT à travers le monde ont été déclenchées à partir d adresses IP situées aux États- Unis soit un bond de 7 points par rapport à 2013 (49 %). En cause? La volonté des attaquants de se rapprocher de leur cible, notamment pour contourner les dispositifs de défense par filtrage géographique. Outre une excellente couverture réseau de leur territoire, les États-Unis regorgent également de ressources toutes plus tentantes pour les pirates. 4

5 PRINCIPALES CONCLUSIONS VULNÉRABILITÉS, ATTAQUES ET EXPLOITATION Un kit d exploits est une sorte de suite progicielle malveillante qui facilite et systématise l exécution des exploits sur les systèmes visés. Dans le domaine des vulnérabilités et des kits d exploits, les chiffres de cette année corroborent les résultats de l an dernier et mettent en lumière le pouvoir de nuisance de ces kits sur les entreprises. Plus de 80 % des vulnérabilités ciblées par les kits d exploit en 2014 ont été découvertes et signalées en 2013 et En 2012, les vulnérabilités ciblées dataient d un peu moins de deux ans, avant de rajeunir à un peu plus de 12 mois les deux années suivantes. Pour garantir le succès des attaques, les développeurs privilégient la simplicité d utilisation et l efficacité de leurs kits d exploit. Quant à l actualisation régulière des contenus et des fonctionnalités des kits, elle contribue également à l essor du marché de la cybercriminalité. Entre 2012 et 2014, les utilisateurs de kits d exploits ont massivement profité d une faille de sécurité d Adobe Flash. En 2014, le nombre de vulnérabilités Flash identifiées a d ailleurs atteint un nouveau record qui s est reflété dans la présence croissante d exploits Flash dans les kits d exploits. On notera également la présence d exploits Adobe Flash de type zero-day dans le kit Angler, véritable facteur de différenciation pour ses auteurs. Les attaques par amplification NTP (Network Time Protocol) ont représenté 32 % des attaques DDoS observées par NTT en Au premier trimestre 2014, les amplifications NTP concentraient à elles seules la majeure partie de l activité DDoS sur toute l année. Ce succès s explique principalement par la simplicité de lancement de ces types d attaques et la disponibilité des outils DDoS idoines. Les attaques par amplification DDoS via le protocole UDP (User Datagram Protocol) se sont taillées la part du lion, avec pas moins de 63 % des attaques DDoS observées par le Groupe NTT. Mais outre les attaques par amplification NTP étudiées, les autres attaques basées sur UDP (SSDP et DNS) ont représenté près des deux tiers de toutes les attaques. 5

6 PRINCIPALES CONCLUSIONS En 2014, 76 % des vulnérabilités identifiées sur l ensemble des systèmes étudiés avaient plus de 2 ans près de 9 % d entre elles dépassant même la décennie. Ces chiffres concernent des vulnérabilités de 4.0 ou plus sur l échelle CVSS (Common Vulnerability Scoring System), soit un niveau de dangerosité allant de moyen à élevé. D où de sérieuses inquiétudes quant à l efficacité des solutions de gestion des correctifs et à un possible recalage lors d audits de conformité a fortiori lorsque l on sait que ces vulnérabilités sont dans le viseur des kits d exploits. 26 % des attaques d applications Web en 2014 ont été commises par injection, un chiffre en hausse de 9 % par rapport à Les attaques par injection consistent à injecter des données ou du code malveillant via une requête considérée comme valide par le système destinataire. Souvent utilisées pour exfiltrer des données ou lancer des commandes à distance, ces attaques sont appelées à prendre une ampleur préoccupante à court terme. L absence de pratiques de codage sécurisées et de tests d assurance qualité dans les applications personnalisées n est pas la seule responsable de cette émergence. La réutilisation de fonctionnalités de bibliothèques de code et de frameworks tiers vulnérables est également en cause. PROCÉDURES D INTERVENTION ET ÉTUDES DE CAS La capacité d une organisation à identifier les attaques n est pas forcément un gage de réactivité. Les observations présentées dans ce rapport sont assorties de recommandations spécifiques et d études de cas qui illustrent certaines problématiques rencontrées par les entreprises d aujourd hui. Pour le Groupe NTT, la majorité des interventions se situent autour de trois domaines : malware, DDoS et violations. Malgré une prise de conscience sur l importance d une gestion interne de leurs capacités d intervention, les entreprises n en ont pas moins besoin d intervenants extérieurs sur ces trois volets de la cybersécurité. Si les entreprises semblent relativement bien armées pour gérer les interventions opérationnelles au quotidien, elles continuent de faire appel à des prestataires externes pour les incidents de sécurité plus complexes. 6

7 PRINCIPALES CONCLUSIONS Entre 2013 et 2014, le groupe NTT a vu le nombre de ses interventions sur des attaques DDoS chuter de 31 % à 18 %. On doit notamment ce recul à la généralisation et à la baisse des prix des technologies anti-ddos, conjuguées à une meilleure sensibilisation des utilisateurs qui rendent les interventions externes moins nécessaires qu avant. Ainsi, malgré l intensification des attaques DDoS NTP et SSDP en 2014, les dispositifs de protection sont souvent parvenus à neutraliser la menace sans intervention extérieure. La proportion de nos interventions sur incidents par malware est passée de 43 % en 2013 à 52 % en 2014 (+9 %). On doit principalement cette hausse au perfectionnement des kits d exploits sur le marché. Notons également que la majorité de nos missions se sont effectuées sur des malwares de masse. Les contrôles de base ne sont toujours pas systématiques. Ainsi, 75 % des entreprises ne disposent toujours pas d un plan d intervention sur incidents. Ségrégation du réseau, prévention antimalware, gestion des correctifs, surveillance, interventions sur incident tous ces dispositifs auraient pu réduire, voire prévenir une grande partie des incidents observés par le groupe NTT en Or, même les plus grandes structures présentent des lacunes dans ces domaines. Étude de cas : Attaques par spear-phishing Grâce à l efficacité de son dispositif anti spear-phishing, une entreprise est parvenue à baisser ses coûts de 80 %. Dans cette étude de cas, le Groupe NTT revient en détail sur la manière dont son client a pu réduire sa facture de frais de justice et d investigation de $ (voire beaucoup plus) à seulement $. Étude de cas : Attaque DDoS sur des applications Web. Grâce à la rapidité de sa détection et de son intervention, une entreprise est parvenue à neutraliser une attaque DDoS, limitant ainsi ses pertes en termes financiers et d image. 7

8 LE GROUPE NTT Le Groupe NTT possède l un des plus forts viviers de compétences en sécurité au monde via ses différentes unités opérationnelles : Solutionary, NTT Com Security, Dimension Data et NTT DATA, sans oublier NTT Innovation Institute, Inc. (NTTi³). Ensemble, ces pôles d excellence interviennent dans le consulting en sécurité, les solutions de sécurité managée dans le cloud, la cyberveille, l intégration de la sécurité et la gestion du risque pour accompagner leurs clients à travers le monde. Cette force collective permet au Groupe NTT de répondre à vos besoins d homogénéité et de standardisation des services dans vos différentes zones géographiques, tout en proposant des solutions sur mesure pour vos exigences spécifiques. Nos domaines d intervention : Élaboration et communication de stratégie : analyse du marché et de la concurrence pour étayer et éclairer vos choix technologiques. Ingénierie des process de sécurité : contrôle de l adéquation des process et procédures en place avec vos objectifs de rentabilisation et de développement de nouveaux marchés. Optimisation de vos investissements en sécurité : prise en charge du déploiement, de l intégration et de la personnalisation des différentes technologies de sécurité. Gestion des opérations de sécurité : gestion continue de votre environnement de sécurité par des professionnels aguerris aux bonnes pratiques. Réponses à vos besoins spécifiques : utilisation d un modèle hybride unissant vos outils et les nôtres, pour un déploiement à distance, sur site ou dans le cloud. 8

9 LE GROUPE NTT Quelques chiffres clés témoignent des savoir-faire du Groupe NTT dans les domaines de la sécurité et de la recherche : 16 centres opérationnels de sécurité (SOC) dans le monde 7 centres de recherche et développement clients experts en sécurité et en conformité Si les sociétés du Groupe NTT agissent autour d objectifs communs partout dans le monde, elles affirment chacune leurs atouts et leurs spécificités au niveau régional. Sous l impulsion de NTT i 3, nos unités opérationnelles collaborent étroitement pour capitaliser à la fois sur la présence et le rayonnement international des infrastructures TIC et R&D de NTT, et sur leurs dispositifs de cyberveille et capacités d analyse respectives. Ce document de référence se base sur les attaques recensées par les entreprises du Groupe NTT au niveau mondial (Solutionary, NTT Com Security, Dimension Data, NTT Data, NTT R&D et NTT Innovation Institute, Inc.) Ainsi, ses conclusions sont le fruit d une analyse d environ 6 milliards d attaques avérées dans le monde en Ces données ont été répertoriées par 16 centres opérationnels de sécurité (SOC) et 7 centres R&D, puis analysées par les milliers de spécialistes, professionnels et chercheurs en sécurité de NTT à travers le monde. Solutionary, une société du Groupe NTT (NYSE : NTT), incarne la nouvelle génération de fournisseurs de services de sécurité managée (MSSP), avec en appui un dispositif de cyberveille mondiale. Ses solutions de surveillance et ses services de gestion des équipements de sécurité assurent une protection complète des infrastructures informatiques physiques et virtuelles, sans oublier les environnements cloud et les données mobiles. Les clients Solutionary ont ainsi toutes les cartes en main pour optimiser leurs dispositifs de sécurité en place, prendre les bonnes décisions pour leur sécurité, respecter leurs 9

10 LE GROUPE NTT obligations réglementaires et réduire leurs coûts. Fournie dans le Cloud, la plateforme brevetée ActiveGuard intègre de multiples technologies de détection et outils analytiques pointus qui protègent les clients contre les menaces avancées. Quant à l équipe SERT (Solutionary Security Engineering Research Team), elle s appuie sur ses études des menaces mondiales pour proposer des informations exploitables, des outils de détection renforcée et des dispositifs de protection. Sur le front de la sécurité, les experts chevronnés et certifiés de Solutionary interviennent en appui des équipes internes de nos clients. Ses services leaders s adressent tant aux grands groupes qu aux entreprises de taille intermédiaire, dans des secteurs aussi variés que la finance, la santé, la grande distribution et les services publics. Enfin, Solutionary est opérationnel 24h/24 et 7j/7 par l intermédiaire de ses centres SOC de pointe. Découvrez les atouts de Solutionary pour renforcer votre sécurité, gagner en efficacité et simplifier votre mise en conformité. Contactez un partenaire agréé Solutionary, ou appelez directement Solutionary au , ou par à info@solutionary.com NTT Com Security, société du Groupe NTT (NYSE : NTT), a fait de la gestion du risque et de la sécurité de l information son cœur de métier. En optant pour WideAngle, nos clients font le choix de services technologiques, de consulting et de sécurité managée à la hauteur de leurs enjeux. Ainsi, ils nous confient la gestion du risque pour mieux se concentrer sur leurs opportunités métiers. L étendue de nos missions GRC (Gouvernance, Risque, Conformité), nos services innovants de sécurité managée et nos implémentations technologiques pragmatiques nous offrent une perspective unique que nous plaçons au service de nos clients. Ce faisant, nous les aidons à prioriser leurs projets et à mettre en place des standards fiables. Enfin, nous nous attachons à fournir des conseils justes et objectifs sur chacune de nos interventions. Notre approche globale vise à éliminer les coûts et la complexité, dans un contexte où l importance croissante de la gestion du risque et de la sécurité de l information agit comme un levier de compétitivité dans les entreprises les plus performantes. Innovante 10

11 LE GROUPE NTT et indépendante, NTT Com Security dispose de nombreuses implantations en Amérique, en Europe et en Asie-Pacifique. Elle fait partie intégrante du groupe NTT Communications, propriété de NTT (Nippon Telegraph and Telephone Corporation), l un des plus grands opérateurs de télécoms au monde. Pour en savoir plus sur NTT Com Security et les atouts de nos services WideAngle pour la gestion du risque et de la sécurité de l information, contactez votre interlocuteur commercial ou rendez-vous sur contact pour obtenir les coordonnées de notre bureau le plus proche. Dimension Data, une société du Groupe NTT (NYSE : NTT), est un fournisseur de solutions et de services TIC. Avec plus de collaborateurs répartis dans 58 pays, Dimension Data réalise un chiffre d affaires annuel de 6,7 milliards d USD. Son pôle sécurité propose une expertise technique et d intégration globale sur un large éventail de domaines allant des réseaux à la sécurité, en passant par les communications, les data centers et l informatique utilisateur. Nous accompagnons plus de clients dans tous les secteurs d activité (services financiers, télécommunications, santé, industrie, services publics et éducation). Notre architecture de gestion en temps réel des événements et informations de sécurité s appuie sur une solution de gestion des risques transverse à toute l entreprise. Les analystes de nos SOC ont ainsi tous les éléments en main pour centraliser la gestion des attaques, des menaces et des risques par corrélation des informations issues de multiples technologies de contrôle. Ce dispositif leur permet d éliminer les faux positifs et autres éléments à faible risque pour se concentrer rapidement sur les menaces prioritaires et les neutraliser efficacement. Rattachés à nos centres SOC, nos experts certifiés transmettent leurs savoirs et compétences aux équipes informatiques de nos clients. Pour ces derniers, ces techniciens chevronnés constituent un rempart pour l identification et la neutralisation des cybermenaces. Dimension Data est certifié ISO9001, ISO/ IEC 27001:2013, ASD Protected Gateway, PCI DSS et ASIO T4. Pour en savoir plus, contactez les bureaux Dimension Data les plus proches ou rendez-vous sur 11

12 LE GROUPE NTT NTT DATA, une société du Groupe NTT (NYSE : NTT), est une SSII au service de l innovation de ses clients, à travers ses collaborateurs répartis dans plus de 40 pays. Tenant de partenariats de long terme, NTT DATA associe sa présence internationale à une expertise locale pour proposer des services d excellence : consulting, services applicatifs, externalisation des SI et processus métiers, et solutions cloud. Partie intégrante du Groupe NTT, l une des plus importantes sociétés de services informatiques au monde, nous réalisons plus de 112 milliards d USD de chiffre d affaires annuel et accompagnons les projets de 80 % des entreprises du Fortune Global 100. Rendez-vous sur pour découvrir comment nos consultants, projets, services managés et missions d externalisation créent une véritable valeur ajoutée pour nos clients, tant dans les secteurs privés que publics. NTT Innovation Institute, Inc. (NTT i) est le centre d innovation, de recherche appliquée et de développement du Groupe NTT. Implanté dans la Silicon Valley, cet institut travaille au contact des entités du Groupe NTT et de leurs clients internationaux pour mettre au point des solutions et des services axés sur leurs marchés. NTT i3 capitalise sur le vaste gisement intellectuel du Groupe NTT, un groupe qui investit chaque année plus de 2,5 milliards d USD en R&D. Ses scientifiques et ingénieurs hors pair collaborent étroitement avec des start-ups et des grands noms de la high-tech pour mettre au point des solutions leaders dans les domaines de la stratégie, des applications métiers, des données et des infrastructures à l échelle mondiale. Pour en savoir plus sur NTT i3, rendez-vous sur 12