Verizon publie aujourd’hui son rapport d’enquête 2012 sur les compromissions de données. Outre beaucoup de tendances intéressantes le document inclue également une étude originale consacrée aux différences d’approche des attaquants en fonction du domaine d’activité de leur victime.

Pour cela Verizon a réutilisé les données de son Databreach Report annuel en y appliquant d’autres critères d’analyse que ceux utilisés initialement. Quatre industrie-cibles ont été retenues : Santé, Hôtellerie & restauration, points de vente et Finance. Un cinquième critère, plus transversal, a également été analysé : le vol de propriété intellectuelle.

Premier constat : si le fantasme du vol de dossier médical est toujours bien présent, l’étude de Verizon constate que les pirates s’attaquant à des établissement médicaux visent plutôt les données de paiement (numéros de cartes bancaires). Ils ciblent ainsi notamment plus volontiers les terminaux de paiement des petites cliniques privées que les centre de données des grands établissements qui hébergent des dossiers médicaux.

L’hôtellerie et la restauration, quant à elle, est sans surprise l’industrie la plus attaquée (et l’on savait déjà que les hôtels étaient la source principale de vol physique de numéros de cartes bancaires). Selon les données de Verizon c’est aussi l’industrie qui se protège le moins. Les attaques y sont donc naturellement peu sophistiquées, le plus souvent automatisées et très opportunistes. « Les pirates qui ciblent cette industrie scannent généralement en masse, pour la seule vulnérabilité du moment, et lorsqu’ils découvrent une faille ils l’exploitent très rapidement et automatiquement« , explique Jay Jacobs, analyste senior chez Verizon.

Le commerce et la finance apparaissent comme plus mûrs en terme de sécurité, et de telles attaques opportunistes automatisées semblent donc moins bien fonctionner. « Nous observons un meilleur niveau de protection, et les attaques logiques deviennent plus ciblées, plus sociales et visent surtout le front-end web, avec par exemple l’injection SQL. Mais nous observons également plus d’attaques physiques (récupération des données de paiement directement sur les terminaux, ndlr)« , poursuit Jay Jacobs.

Cette tendance à des attaques plus ciblées ou visant essentiellement le front-end web se retrouve également dans les tentatives de vol de propriété intellectuelle (tous secteurs d’activité confondus). Toutefois les « voleurs d’IP » exploitent une autre technique : la complicité interne. « Nous observons plus d’abus interne ou de collusion – lorsqu’un attaquant externe soudoie un employé. Cette montée en puissance de la collusion est définitivement une nouveauté, et nous ne nous attendions pas à ce que cette tendance apparaisse dans les chiffres de l’étude« , confirme Jay Jacobs.

Enfin, puisqu’il n’est désormais plus possible de parler de SSI sans citer la mobilité, Jay Jacobs fait remarquer qu’aucune donnée dans la masse d’incidents étudiés pour ce rapport ne démontre une exploitation d’un terminal mobile. Pour l’instant. « Cela pourrait changer. Ce n’est qu’une intuition, qu’aucune donnée ne vient confirmer pour l’instant. Mais nous observons généralement que les attaquants sont plutôt paresseux et vont au plus facile pour dérober les données qu’ils convoitent. Et je crains qu’à l’avenir les terminaux mobiles ne soient le maillon faible pour accéder aux données de l’entreprise. La bonne nouvelle, c’est que ça nous laisse du temps maintenant pour tenter de mieux les sécuriser« , conclue l’analyste.

> Le rapport complet est disponible gratuitement et en français sur le site de Verizon.