Les chiffres du rapport d'enquête sur les violations de données Verizon 2024 parlent d'eux-mêmes. L'analyse ne dénombre pas moins de 30 458 « incidents de sécurité » en 2023.
Au royaume des hackers, il semble que la faille zero day soit la reine des portes d'entrée. C'est en tous les cas ce qu'indique le très complet rapport 2024 sur les violations de données de Verizon Business, le spécialiste des réseaux pour entreprises. Entre autres données, c'est une année 2023 placée sous le signe des tristes records.
En effet, sur les 30 458 incidents de sécurité analysés, 10 626 ont confirmé une violation des données, soit une augmentation de… plus du double par rapport à 2022. Mais s'il est bien une donnée de ce rapport qui a de quoi alerter et surprendre, c'est bien celle-ci : en 2023, 68 % des cyberattaques permises « grâce » à l'exploitation de ces failles zero day étaient dus à une erreur humaine. Même l'utilisation de l'IA par les hackers n'a pas fait mieux.
Les délais de détection et de correction des failles zero day trop longs qui profitent aux hackers
« L'exploitation des vulnérabilités zero day par les auteurs de ransomwares reste une menace persistante pour la protection des entreprises », s'inquiète Chris Novak, à la tête du conseil en cybersécurité de Verizon Business.
Et il y a de quoi. En 2023, le rapport indique que l'exploitation des failles zero day a presque triplé et représente aujourd'hui 14 % de l'ensemble des cyberattaques.
Mais aussi alarmant que cela puisse paraître, cette appétence des hackers pour les failles zero day ne doit rien au hasard. Il s'agit juste d'opportunisme. En effet, lorsque l'on sait qu'en moyenne, selon le CISA, les entreprises mettent 55 jours pour pallier la moitié des failles critiques une fois les correctifs disponibles, et que le temps médian pour repérer les exploitations à grande échelle est de cinq jours, on comprend mieux l'engouement des cybercriminels pour cette vulnérabilité.
L'humain responsable malgré lui de 68 % des violations de données
« Errare humanum est » pourrait très bien illustrer un autre chiffre étonnant de ce rapport. 68 % des violations de données impliquent « un élément humain non malveillant ». En d'autres termes, il s'agit pour les hackers de profiter d'une erreur humaine innocente qu'un utilisateur ou salarié d'une entreprise commet en manquant de vigilance ou par excès de confiance. Il peut s'agir d'une erreur banale de sauvegarde de données personnelles dans un environnement peu sécurisé, ou encore d'un clic sur un document contenant un malware.
Une petite éclaircie cependant parmi tous ces chiffres inquiétants. 20 % des utilisateurs ont identifié et signalé du phishing lors d'exercices de simulation de cyberattaque, et 11 % de ceux ayant ouvert un e-mail frauduleux l'ont également fait remonter aux DSI. Le rapport conclut qu'une formation des employés aux bonnes pratiques de sécurisation des données, ainsi que des progrès à faire dans les délais de correction des failles de la part des organisations sont nécessaires pour réduire les cyberattaques. Une évidence qui ne l'est toujours pas pour tout le monde, si l'on se souvient de l'attaque des pare-feu Cisco ou de celle de Microsoft Office, toutes deux opérées via des failles zero day.
Enfin, il ne sera jamais vain pour Clubic de vous recommander la plus grande prudence lorsque vous mettez en jeu vos données personnelles sur Internet, que ce soit en vous connectant à des administrations, ou à votre compte bancaire. Nous vous donnons souvent des conseils en matière de protection de vos données, comme notre sélection de gestionnaires de mots de passe pour vous faciliter la tâche en vous aidant à générer et stocker des mots de passe robustes. Toutefois, si vous préférez la méthode manuelle, alors il est vivement conseillé de faire appel à votre imagination pour éviter les mots de passe sensiblement similaires ou variant sur le même thème.
Enfin, n'hésitez pas à ajouter une couche de protection supplémentaire avec l'activation de l'authentification à deux facteurs (2FA), qui exige une preuve supplémentaire d'identité au-delà du simple mot de passe.
30 octobre 2024 à 11h48
Source : Help Net Security