Les statistiques rapportées dans M-Trends 2020 soulignent que la durée d’infiltration par des indésirables dans le SI des entreprises s’est considérablement réduite. Si l’Europe performe bien en la matière, c’est grâce au RGPD entre autres, concluent les analystes de FireEye.

Dans la lutte sans merci que se livrent les organisations et les cybermalfaiteurs, les premières semblent avoir amélioré leurs capacités de détection des intrusions rapporte l’enquête annuelle de FireEye Mandiant, qui porte sur les attaques ciblées menées entre le 1er octobre 2018 et le 30 septembre 2019.

Que ce soit suite à une découverte interne ou externe, c’est-à-dire notifiée par une entité externe à l’entreprise, « Les organisations trouvent et contiennent les attaquants plus rapidement. Toutes les mesures du temps de séjour [au niveau mondial] se sont améliorées l'année dernière, les incidents découverts en interne étant ceux qui se sont le plus améliorés, passant de 50 jours à 30 jours », explique le rapport.

Au cours de l'année dernière, les consultants Mandiant ont observé une diminution de 12 % de la proportion de compromis détectés en interne. Il s'agit de la plus forte baisse de cette mesure depuis 2011. Pour la première fois en quatre ans, les notifications externes ont dépassé les détections internes.

image001

Les durées des infiltrations diminuent

« Cette évolution est potentiellement due à divers facteurs, affirme le rapport, tels que l'augmentation des notifications des fournisseurs de cybersécurité et des services répressifs, l'expansion continue du secteur de la cybersécurité, les changements dans les normes de divulgation publique et les changements de conformité ». Par ailleurs les capacités de détection en interne ont évolué dans le bon sens, car les mesures montrent une amélioration continue des détections et des réponses organisationnelles.

Selon FireEye, la durée de séjour (nous préférons parler de durée d’infiltration hostile, ce ne sont pas des vacances) est calculée comme le nombre de jours pendant lesquels un agresseur est présent dans un réseau de victimes avant d'être détecté

Dans un contexte de baisse généralisée de la durées des infiltrations, la région EMEA a connu une nette réduction des temps de séjours des indésirables dans les Si des entreprises. En 2019, 41 % des compromissions étudiées par les experts de Mandiant avaient des durées de 30 jours ou moins, contre 31 % l'année précédente. Reste une proportion de 12 % qui ont eu des temps de séjour supérieurs à 700 jours.

image002

Évolution des comportements des agresseurs et RGPD

Certes, ces tendances à la baisse démontrent l’efficacité grandissante des entreprises à détecter les attaques, mais soulignent dans le même temps une évolution du type d’attaques. « Les experts ont constaté une augmentation continue des attaques perturbatrices (telles que les demandes de rançon et le cryptominage) qui ont souvent des durées de vie plus courtes que les autres types d'attaques », explique le rapport. Ces attaques n’ont pas pour vocation à rester secrètes (rançongiciels) ou de faire dans la discrétion (cryptominage).

Dans ce concert des nations, la région EMEA a connu une nette réduction des temps de séjour. Le rapport M-Trends révèle que le délai moyen de présence des attaquants sur le réseau de leurs victimes dans la zone EMEA a baissé de 177 jours lors du rapport de l’année dernière à 54 jours cette année, une chute spectaculaire de 70 %.

Combattre les techniques de furtivité et de brouillage

Dans le rapport M-Trends 2019, les experts de FireEye avaient constaté une forte augmentation du temps de séjour médian, probablement lié à la mise en place du RGPD. Celui-ci a servi alors de révélateurs à des infiltrations qui séjournaient là depuis longtemps.  « Alors que certains de ces incidents étaient des intrusions de longue durée, beaucoup d'entre elles étaient des vestiges d'attaques historiques plutôt que des attaques actives ».

Les statistiques EMEA sont maintenant généralement conformes aux moyennes mondiales, qui reflètent l'amélioration de la prise de conscience des organisations en matière de sécurité et de conformité. Elles mettent également en évidence les prochains champs de bataille sur lesquels devront être menées les combats contre le cybercrime : les techniques de furtivité et de brouillage.