La commercialisation de codes d’accès et autres données sensibles volées aux entreprises est désormais un service commercial comme un autre. C’est une évidence, plus les organisations détectent rapidement une menace, plus elles sont en mesure de réagir efficacement. Une fois que les données critiques sont en libre accès sur le darkweb, il est souvent trop tard. En ce sens, les réponses des entreprises prévenues d’une fuite de données sensibles sont édifiantes. Kaspersky les a classées selon la gamme des réactions face à une information désagréable depuis le choc initial jusqu’à l’acceptation et la reconstruction. La surveillance de l’éditeur russe a été exercée sur les forums et les blogs du darkweb, ainsi que sur les canaux de Telegram.
Le graphique ci-dessous indique que l’Europe est largement en tête des incidents reportés avec 66 cas rapportés devant la Russie avec 43 incidents.
« Seul un tiers des entreprises ont réagi à la situation de manière appropriée, alors que la majorité semblait submergée par un tourbillon d’émotions allant de l’ignorance au déni en passant par le désarroi », explique Yuliya Novikova, Directrice de la Digital Footprint Intelligence de Kaspersky.
Les indicateurs de l’analyse sont instructifs. Au plan international 42 % des entreprises n’ont pas de point de contact dédié pour les cyberincidents et 28 % témoignent d’une certaine indifférence aux problèmes. Restent 2 % qui ne veulent pas croire aux alertes et sont dans le déni, soit la première phase suite à la communication d’une mauvaise nouvelle.
Des vulnérabilités RCE dans la plus grande banque européenne
Deux exemples concrets, anonymes, citent des publicités sur le darkweb à propos de failles Remote code execution (RCE) dans le SI de la banque leader en Europe. Elles permettent à un pirate d’exécuter du code malveillant à distance avec un processus de Command&Control.Autre indicateur notable, seulement 6 % des organisations ont indiqué qu'elles étaient déjà au courant de l'incident quand elles ont été informées par Kaspersky. Un résultat qui ne surprend pas quand on sait que les attaques réussies sont précédées par l’exploration préalable des réseaux, parfois depuis plusieurs mois.
Les intrusions et vols de données sensibles n’ont pas que des conséquences financières, pertes directe et indirectes, atteinte à l’image. Les organisations tombent aussi sous le coup des règlements européens qui exigent une obligation de sécurité et de confidentialité, une obligation d'information des autorités (en France la CNIL et l’ANSSI). L’absence de réponse des entreprises à des alertes telles que celles citées dans l’analyse ne sont pas la meilleure des réponses.
Rappelons qu’en 5 ans, environ 5 milliards d'euros d'amendes ont été infligées aux entreprises et institutions européennes. Des sanctions qui ne dissuadent pas les géants du numérique et autres grosses multinationales qui utilisent de nombreux stratagèmes pour les éviter.
Cette analyse rappelle, s’il cela était encore nécessaire, le rôle essentiel de la prévention dans le domaine de la cybersécurité.