Sunday 14 March 2010
Article  Cloud security assessment scheme launched

Sunday 14 March 2010
In Brief  Human element undermines encryption

Thursday 11 March 2010
Article  Digital privacy framework steps closer?

Monday 8 March 2010
Audio Podcast  Web 2.0 and Social Networks in the Enterprise

Sunday 7 March 2010
Article  Digital Economy Bill raises privacy concerns

Wednesday 3 March 2010
Article  Cloud security threats identified by CSA

Tuesday 2 March 2010
In Brief  Vote for your CSO Interchange topics

Thursday 25 February 2010
Article  Cloud Computing : a simple question of supplier risk

Monday 22 February 2010
Article  Most dangerous coding errors outed

Monday 22 February 2010
In Brief  Microsoft IE users to get browser choice update

Friday 19 February 2010
Article  Google Buzz fail highlights privacy expectation rise

Thursday 18 February 2010
In Brief  Annual hacking challenge aims for mobiles and browsers

Wednesday 17 February 2010
Audio Podcast  The Challenges of Cross Border eID

Monday 15 February 2010
Audio Podcast  The Readiness of eID in Europe Part 2

Sunday 14 February 2010
Audio Podcast  The Readiness of eID in Europe Part 1

Written by Oppeneau Gilles (Accor)
Published on Wednesday 30 July 2008
3 comment(s) | Subnetwork France

Verizon Business a publié le mois dernier un rapport synthétisant quatre ans d'investigations informatiques (forensics) portant sur environ 500 cas de compromissions de systèmes d'informations. Ce document met en évidence un certain nombre de données intéressantes, dont le détail de la cause des compromissions. Voici quelques commentaires rapides :

Données

- Assez logiquement, le plus grand nombre d'attaques (73%) proviennent d'une source extérieure à l'entreprise, typiquement Internet.

- 18% des attaques ont été réalisées par des employés de l'entreprise (50% d'entre eux étaient des membres de l'équipe informatique). Même si ces attaques sont plus rares, les dommages causes par les employés sont de très loin les plus importants.

- Environ 40% des attaques ont implique un partenaire. Ce nombre est important mais il est également intéressant de noter la progression dans le temps du nombre de partenaires impliques dans la compromission du système d'information des entreprises: en 2004 les partenaires représentaient seulement 8% des attaques, contre plus de 40% en 2008 (et cela continuerait de progresser).

Commentaires

- Les entreprises sont maintenant relativement bien sensibilisées au risque que représente une exposition sur Internet et des mesures appropriées sont le plus souvent mises en places (architecture, firewalls, IDS, etc.) pour limiter le risque. Une conséquence étant que même si le nombre d'attaques impliquant une source externe reste extrêmement important, les dommages sont maintenant relativement limites (cela dépend évidemment des cas).

- Concernant les menaces internes, les mesures appliquées sont sans doute insuffisantes dans la plupart des cas et une attaque menée par un employé (ou un ancien employé qui aurait conserve ses accès a distance par exemple) a souvent des conséquences considérables. Il est important de renforcer (ou de créer) les procédures de fin de contrat pour s'assurer que les comptes nominatifs sont supprimes, les mots de passe modifies, les accès a distance annules, les machines sensibles auditées, etc.

- Le cas des partenaires est un peu a part car de part leur statut ils bénéficient souvent d'un niveau de confiance privilégié et peuvent ainsi accéder a certaines ressources internes de l'entreprise (typiquement via des VPN). L'environnement du partenaire n'est pas maitrise par l'entreprise et si celui-ci est compromis, une exploitation de la relation privilégiée entre l'entreprise et le partenaire peut avoir des conséquences importantes. Cela tend donc à montrer que les précautions prises avec les partenaires sont loin d'être suffisantes et qu'il faut reconsidérer cette relation de confiance en mettant en place les restrictions et contrôles associes. Ceux-ci doivent sans doute être équivalents a ceux associes aux risques purement externes.

Autres éléments intéressants du rapport (parmi de nombreux autres)

- Concernant les attaques exploitant une vulnérabilité connue, dans 71% des cas un correctif était disponible depuis plus d'un an.

- L'entreprise a été notifiée de la compromission de son système par une source extérieure dans 75% des cas.

- Les cibles ont été sélectionnées de manière précise par les attaquants dans 15% des cas (dans 39% des cas il s'agissait du hasard suite a des scan par exemple).

- Entre le moment de la compromission et sa découverte, il s'est écoulé plusieurs mois dans 63% des cas.

- Entre le moment de la découverte de la compromission et la réaction de l'entreprise, il s'est écoulé plusieurs semaines dans 48% des cas.

- 83% des compromissions ont été dues à des attaques considérées comme n'étant pas d'un haut niveau de difficulté à réaliser.

- Les données compromises étaient relatives à des moyens de paiement dans 84% des cas.

- Les attaques ont cible des applications web dans 34% des cas.

Verizon Report
http://www.verizonbusiness.com/resources/security/databreachreport.pdf