RECHERCHE

Plan du site

Solutions

BOURSE

 

 Tous nos articles
 
Sécurité
Sondage CSI/FBI : cyber-anarchie ou cyber-mensonge made in USA ?
Augmentation drastique des détournements de pages web, hémorragie du vol de données confidentielles, épanchement de la fraude financière... D'inquiétantes nouvelles débarquent d'Amérique. Qui nécessitent toutefois un travail de modération critique... (Mercredi 10 avril 2002)
     

Le septième sondage annuel (cru 2001-2002) "Computer Crime and Security Survey" mené par le Computer Security Institute vient d'arriver, et il n'est pas content. Appuyée dans ses travaux par le bureau du FBI de San Francisco, l'organisation internationale qui déclare plus de 5 000 membres experts en sécurité dans le monde a interrogé 503 personnes chargées de la sécurité. Pour les besoins d'équilibrage du panel, les sondés sont répartis dans toutes sortes d'institutions et dans des entreprises américaines de taille moyenne à très grande, tous secteurs confondus. Or, le résultat ne s'est pas fait attendre. Si les résultats du sondage ne prédisent pas vraiment l'apocalypse électronique, ils n'en traduisent pas moins une augmentation très conséquente des attaques et des dégâts qu'elles ont occasionné.

Avant d'aborder les attaques subies par les organisations, l'auteur du rapport, Richard Power fait un rapide tour des protections déployées en leur sein.
Et ô surprise : toutes sont en diminution par rapport aux années précédentes, sauf l'usage de la biométrie (ou anthropométrie) qui concerne désormais 10 % des répondants contre 9 % l'an dernier. Les chiffres les plus éloquents concernent les firewalls (plus que 89 % équipés contre 95 % en 2001), les anti-virus (100 % en 2000, 90 % deux ans plus tard) et notamment le contrôle d'accès aux ressources informatiques internes : 82 % dans le présent sondage, 10 % de plus il y a deux ans. Alors, que s'est-il passé ? Aucune réponse de l'auteur en la matière, mais celui-ci rappelle en épilogue que ce sondage n'est en aucun cas le reflet de la stricte réalité, et qu'il ne fournit que des données brutes en vue de stimuler la réflexion.

De la sincérité et de l'objectivité des réponses
Deux facteurs ont pu jouer dans la baisse du taux d'équipement des entreprises en sécurité : d'une part l'absence de sincérité des sondés, avant ou aujourd'hui, pour des raisons qui leur sont propres. Et d'autre part, le panel en lui-même a pu d'une année sur l'autre évoluer vers des organisations moins "organisées". Mais comme le rappelle l'auteur, les aberrations ne manquent pas et cette tendance-là n'a pas disparu d'une année sur l'autre. Ainsi, 90 % des sondés sont donc équipés d'un anti-virus, mais 85 % ont été touché par des infections. Là-dessus, combien mentent, et à laquelle de ces deux questions ? Combien de sondés ont pu penser, aussi, que leurs réponses anonymes ne le seraient pas ? Difficile de répondre. Mais cet aspect de la question revêt une importance presque primaire.

Seulement 34 % des sondés avouent avoir déclaré les attaques dont ils ont été victimes aux autorités compétentes, au centre desquelles le même FBI qui a participé à l'étude. Si les répondants en ont été informés, ont-ils joué le jeu dans leurs réponses ? Des motivations tournées vers l'occultisme semblent apparaître à travers les résultats obtenus pour la dernière partie du sondage : "les raisons pour lesquelles les organisations n'ont pas rapporté les intrusions aux autorités". Des raisons que n'ont osé aborder que 28 % des participants. En tête : la publicité négative, suivie de l'usage par les concurrents à leur avantage des plaintes déposées. Ensuite viennent l'absence d'informations quant à la possibilité de déclarer le sinistre, et la préférence envers un règlement civil. Décidément, la sécurité est un domaine opaque. Ne rien dire pourrait même constituer un chapitre entier de la politique de sécurité globale, car une bonne gestion des risques tient compte des deux premières raisons évoquées : impacts sur la notoriété de la marque et sur les avantages concurrentiels.

Cyber-terrorisme et "web defacement"
Quoi qu'il en soit, il semblerait à travers les autres éléments du rapport que la cybercriminalité ait augmenté assez sévèrement aux Etats-Unis au cours des 12 derniers mois. Ou peut-être est-ce la sincérité des répondants qui a cru. Ainsi, au moins trois pôles d'évolutions majeures des risques se font jour. Le premier concerne ce que l'auteur qualifie de cyber-vandalisme, notamment les détournements de pages web.

Dans ce domaine, une autre source est citée dans le rapport, le cabinet de gestion des risques mi2g software basé à Londres. Ce dernier a conduit sa propre étude à l'échelle internationale sur le sujet, avec examen du nombre de ces "web defacements" et de leur progression en fonction de différentes extensions de noms de domaine. Il apparaît qu'en 2001, la plupart des catégories représentées ont subi une croissance importante du nombre de détournements de leurs pages. Cette croissance serait de 37 % sur les .gov et de 128 % sur les .mil, de 220 % sur les .il (Israel) soit 413 incidents de ce type, de 205 % sur les .in (Inde), de 300 % sur les .pk (Pakistan) correspondant à 82 incidents, et enfin de 378 % sur les .gov.uk soit une augmentation de 9 à 43 incidents. Pour l'auteur du rapport du CSI, il est clair qu'un grande part de cette activité intense est due à une forme de cyber-terrorisme issu des conflits géopolitiques. Une part moindre serait purement gratuite.

Croissance des pertes pour nombre d'incidents égal
Les deux autres formes d'attaques qui préoccupent ne traduisent pas forcément une forte progression en nombre, mais représentent plutôt les deux pires gouffres financiers en terme de pertes calculées après coup. Respectivement, il s'agit du vol d'informations confidentielles et de la fraude financière. Sur le premier de ces deux volets, la perte moyenne calculée est d'environ 6,57 millions de dollars (contre 4,44 millions l'an dernier) et le total est à peu près de 171 millions de dollars, en hausse de 20 millions par rapport à 2001. Sur le deuxième volet, c'est le total qui a le plus augmenté : 115,75 millions de dollars environ contre 93 millions l'année précédente. L'auteur souligne que si 80 % des sondés ont avoué des pertes, ils n'ont été que 44 % à avoir déclaré être capable de les quantifier. Au total, toutes les pertes subies suite à l'intégralité des attaques avoisineraient les 456 millions de dollars contre 378 millions lors du précédent sondage publié à la même période en 2001. A noter que les tableaux de chiffres sont très fournis, et que certains couples comparés, sur lesquels l'auteur ne cite mot, pourraient donner lieu à des analyses complètes.

Maigre consolation, il semblerait que sur l'année écoulée, les risques internes aient pris une part moins importante sur la totalité des attaques. Selon les arguments de l'auteur, ce serait principalement du à la prise de conscience par les organisations de cette menace interne. Du coup, elles auraient pu parer de nombreux risques. 60 % des sondés (contre 47 % l'an dernier) ont déclaré que les attaques venaient de l'extérieur, puis 32 % de l'extérieur et de l'intérieur, et enfin 2 % de l'intérieur seulement (4 % l'an dernier). 6 % ne savent pas, contre 26 % dans l'édition 2001 du sondage. Là est surtout la progression notable.

La réponse exacte à cette question vient de la capacité des organisations à savoir qu'elles ont été attaquées, et d'où provenait l'attaque. Non rappelé par l'auteur du rapport, un argument possible est celui selon lequel les 60 % se protègent enfin de l'extérieur mais ne savent finalement que très peu ce qui se passe en interne. Comme il s'agit d'organisations présentant déjà une certaine taille et non de PMEs, le nombre et la variété des collaborateurs pourrait multiplier les risques internes. Si l'on se penche sur différents sondages réalisés les années passées par des cabinets de conseil spécialisés dans l'audit de risques notamment, cet aspect a souvent été sous-estimé. Il semblerait que cela ne soit pas en amélioration.

Bref, si vous cherchez à soulever de nouvelles interrogations face à des résultats et des commentaires très fournis et parfois contradictoires, vous pouvez télécharger le document gratuitement sur le site du CSI. Bien entendu, moyennant la saisie d'un formulaire d'inscription. Mais si vous cherchez des réponses sur les véritables tendances des menaces de sécurité, allez plutôt chercher du côté du Cert (Computer emergency response team). Sans remplir de formulaire, un rapport daté du 8 avril examine ces tendances sous un angle plus pratique.

[François Morel, JDNet]
 
Accueil | Haut de page
 
 

  Nouvelles offres d'emploi   sur Emploi Center
Auralog - Tellmemore | Publicis Modem | L'Internaute / Journal du Net / Copainsdavant | Isobar | MEDIASTAY

 
Nos autres sites Société | Mentions légales | Contacts | Publicité | PA Emploi | Presse | Recrutement | Tous nos sites | Données personnelles
© Benchmark Group, 69/71 avenue Pierre Grenier. 92517 Boulogne Billancourt Cedex