Verizon publie son rapport annuel sur les pertes de données, le bien nommé Data Breach Investigations Report. C’est, comme chaque année, une lecture très intéressante que nous vous conseillons vivement.

L’étude porte habituellement sur les variations de critères déjà identifiés dans les éditions précédentes (nombre de pertes de données, coût moyen des attaques, niveau technique des attaquants, etc…). Le rapport 2011 introduit cependant un nouveau facteur : l’hacktivisme comme motivation pour attaquer les entreprises.

Et si d’un point de vue technique les méthodes mises en oeuvre par un pirate criminel ou par un hacktiviste seront les mêmes, les cibles, en revanche, diffèrent. Et cela change tout pour l’entreprise.

« Les hactivistes attaquent des cibles différentes, avec des objectifs différents. Les entreprises doivent comprendre qu’il ne suffit pas de protéger leurs numéros de cartes de paiement pour être tranquilles. Les hacktivistes peuvent parfaitement ignorer les données de paiement et viser d’autres informations, dans le but d’embarrasser l’entreprise en les rendant publiques, par exemple« , explique Chris Novak, de l’équipe d’investigation de Verizon Business chargée d’enquêter sur les vols de données.

Le changement nécessaire au sein des organisations est donc de taille : comment identifier ces données qui pourraient présenter un intérêt aux yeux d’un groupe politiquement motivé ? Car si l’entreprise sait parfaitement identifier ce qui a de la valeur pour elle (propriété intellectuelle, données de paiement, informations commerciales), comment détecter également les ressources qui pourraient en avoir aux yeux d’un attaquant seulement motivé politiquement ?

« Certaines des entreprises que nous rencontrons estiment n’avoir rien de valeur parce qu’elles n’ont ni données de paiement clients ni propriété intellectuelle forte. Mais elles oublient qu’elles hébergent par exemple les données personnelles de tous leurs employés, les salaires et parfois aussi les plans de retraites ou médicaux« , poursuit Chris Novak. Et l’on peut facilement imaginer combien, par exemple, la divulgation des salaires de cadres en vue dans une entreprise placée sous les feux de l’actualité après une délocalisation peut intéresser un attaquant politiquement motivé.

Selon le rapport de Verizon, les attaques liées à l’hacktivisme auraient représenté 58% des brèches répertoriées l’an dernier, alors que la tendance était à peine visible l’année précédente. Et cela explique probablement aussi que désormais 98% des attaques viendraient de l’extérieur (chiffres Verizon DBIR 2012) contre 50% l’an dernier (et, de mémoire, seulement 20% il y a plusieurs années).

Lors de notre récente présentation au Club IES (IAE de Paris Alumni), nous avions déjà identifié l’hacktivisme comme étant une nouvelle force en présence dans le paysage des menaces. Nous proposions alors de créer une matrice de risques qui croiserait l’activité de l’entreprise (ses produits, son industrie, mais aussi sa nationalité, par exemple) avec l’actualité mondiale afin d’anticiper les poussées de fièvres militantes et relever le niveau d’alerte lorsque l’actualité l’exige.

Mais cela ne suffira pas si l’entreprise n’a pas également identifié les informations susceptible d’intéresser un attaquant motivé politiquement plutôt que financièrement. Et pour cela impossible d’échapper à un programme de classification des données, bien sûr. Mais il devra alors être adapté afin d’intégrer également le risque politique (ou d’image) et permettre d’identifier un tout autre type de données que celles exigées par – au hasard – VISA et Mastercard !

Et, bien entendu puisque les motivations politiques changent au gré de l’actualité, cette classification des données devra forcément être… dynamique !

Pour les RSSI qui n’ont pas encore abandonné la lecture à la mention d’une classification dynamique des données, précisons qu’il s’agit effectivement d’un voeux pieux. Mais il est peut-être dans notre intérêt d’imaginer une meilleure coordination entre les équipes SSI & risques, la veille IE et la communication afin de maintenir un niveau d’alerte réaliste capable d’être adapté en temps réel. Et de procéder ensuite régulièrement à une « passe » de routine sur les données classifiées à la lueur de l’actualité et des indications issues de cette matrice des risques politiques (ce qui, a priori, est difficile à automatiser)

Certaines entreprises ont bien entendu déjà de telles réflexions en cours et intègrent le risque politique de par la nature de leur activité ou leurs implantations géographiques (en faisant souvent le lien avec la sûreté). Mais le risque, ici, concerne toutes les entreprises, quelle que soit leur taille, leur activité et leur implantation. Les attaquants sont avant tout opportunistes (à 80% selon l’étude 2012 de Verizon). Et l’on sait comment éviter le crime d’opportunité : en n’en étant pas une !