Les entreprises trop lentes à détecter les attaques informatiques

Pas moins de 229 jours ! C’est le temps moyen qui sépare le début d’une attaque informatique de sa découverte par l’entreprise qui en est victime, selon le dernier rapport M-trends de la société Mandiant, rachetée par FireEye en début d’année. « Cela laisse un temps incroyable aux attaquants pour réaliser leurs méfaits » s’inquiète Gérome Billois, manager sécurité et gestion des risques chez Solucom. Si ce temps est heureusement en diminution, il a baissé nettement moins vite cette année que l’année d’avant. En 2012, il s’élevait à 243 jours… et en 2011 à 416 jours. Les entreprises n’ont donc gagné que 14 jours en 2013 sur leurs attaquants contre 173 l’année précédente. Et certaines dépassent de très loin la moyenne. Une organisation aurait ainsi mis plus de six ans à détecter un incident.

Non seulement les entreprises mettent du temps à détecter les incidents, mais en plus elles ne s’en rendent pas souvent compte elles-mêmes. Les deux tiers sont notifiés du problème par une source externe. Ce nombre est en croissance de 4 % sur un an. D'abord, car les entités qui surveillent les entreprises se sont renforcées que ce soit les forces de l’ordre ou les éditeurs antivirus et, car les clients se rendent aussi de plus en plus compte que leurs données ont fuité.

Malgré les efforts de communication des acteurs de la sécurité et les révélations de Snowden sur la NSA, les entreprises ne semblent pas vraiment pressées de résoudre leurs problèmes de sécurité. « Gagner en visibilité sur son réseau interne nécessite du temps et de l’argent. Ce ne sont pas des projets anodins, mais nous nous attendions à ce qu’il y ait une vraiment mobilisation en 2013 et nous n’avons pas l’impression qu’elle a lieu » regrette Gérome Billois. Les quelques grands comptes qui ont démarré des actions importantes l’ont fait après avoir été victime d’une attaque, notamment dans le secteur de l’énergie. « Les autres sont plutôt engagés dans des opérations de réduction des coûts ou au mieux de stabilisation des budgets. Au final, l’État fait mieux que les entreprises dans le domaine de la cyber sécurité, il investit massivement avec le pacte Défense cyber et les recrutements à l’Anssi » commente Gérome Billois.

Selon le rapport, deux secteurs aux États-Unis ont été particulièrement visés par les attaques en 2013 : la finance et les médias.

La plus grande partie du rapport analyse des cas concrets. Notamment les attaques de l’armée électronique syrienne (SEA). Celles-ci ont visé des sites institutionnels mais aussi des comptes de réseaux sociaux d'entreprises comme Microsoft. Les conflits sur le terrain s'étendent de plus en plus souvent au cyber-espace et concernent aussi les entreprises privées.