Le phishing et le social engineering au top du Black Hat Survey

Share with your network!

Phishing&SocialEngineeringTopConcernsForBlackHatAttendees.jpgLe coup d'envoi de Black Hat USA 2017 a été donné à Las Vegas le 22 juillet, et ce salon attire certains des professionnels de la sécurité informatique les plus avertis au monde. Au début de ce mois, les organisateurs de Black Hat ont publié les résultats de leur troisième enquête annuelle auprès des participants dans leur rapport intitulé Portrait d'une menace imminente pour la cybersécurité. Ci-dessous, nous mettons en lumière certaines des principales conclusions du rapport de cette année et comparons les résultats à ceux révélés par l'enquête de 2016. 

Selon l'enquête Black Hat...

L'enquête 2017 auprès des participants Black Hat a recueilli les réponses de 580 professionnels de la sécurité informatique (y compris la direction et le personnel), dont 66 % travaillent pour des organisations comptant 1 000 employés ou plus. Cette année, l'enquête a recueilli plus du double des réponses de 2016 et a également couvert de nouveaux domaines, notamment les risques pour les infrastructures critiques des États-Unis, les menaces de cybersécurité dans les États nationaux et les risques pour le consommateur moyen. Comme le dit le rapport en première page, "dans la plupart des cas, les défenseurs ne sont pas préparés". 

 

Heading to Black Hat USA 2017? Stop by and see us in Booth #1660! Beforehand, check out our cybersecurity experts' advice about keeping your data and devices safe while at the show.

 

 

 

 

Brèches de sécurité à venir : social engineering et phishing

Les professionnels de l'informatique ont une vision relativement sombre des choses lorsqu'il s'agit des fuites, budgets, employés et compétences :

  • 67% des personnes interrogées ont déclaré qu'elles auraient probablement à faire face à une "brèche de sécurité majeure" dans les 12 mois suivant l'enquête, 13% déclarant qu'il n'y avait "aucun doute" qu'elles feraient face aux retombées d'une brèche majeure. Il s'agit là de deux réductions modestes par rapport à 2016 (72 % et 15 % respectivement).
  • 60 % sont d'accord pour dire qu'il y aura une cyber-attaque réussie sur les infrastructures critiques américaines dans les deux prochaines années ; seuls 2 % sont convaincus que cela n'arrivera pas. (Cette question n'a pas été posée en 2016).
  • 58 % ont indiqué que leurs départements n'ont pas suffisamment de budget pour contrer les menaces actuelles (contre 63 % en 2016).
  • 20 % ont déclaré être "gravement gênés" par les restrictions budgétaires (juste un peu moins que les 21 % de 2016).
  • 71% des répondants estiment que leur organisation n'a pas assez de personnel pour se défendre contre les menaces actuelles (contre 74% en 2016).
  • 61 % (contre 57 % en 2016) ont déclaré que, bien qu'ils puissent gérer la plupart des tâches, ils auraient besoin d'une formation plus poussée pour faire face aux menaces actuelles et remplir toutes les fonctions de leur poste.

L'alignement des objectifs reste un problème

Comme l'année dernière, la plupart des répondants ont déclaré que le manque de personnel qualifié et compétent était la principale raison de l'échec des stratégies et des technologies informatiques des entreprises (bien que le pourcentage soit tombé à 31 % contre 37 %). Et il n'est probablement pas surprenant que les répondants aient déclaré que les utilisateurs finaux sensibles et négligents soient le "maillon faible des défenses des entreprises informatiques d'aujourd'hui", le pourcentage de personnes pointées du doigt passant de 28% en 2016 à 38% dans l'enquête de cette année.

Mais tout le blâme ne peut pas être porté sur les épaules des employés actuels (ou sur leur absence). 19 % des personnes interrogées ont déclaré que "le manque d'engagement et de soutien de la part des cadres supérieurs" était la principale raison pour laquelle les entreprises ne parvenaient pas à mettre en place une stratégie de cybersécurité cohérente et efficace, ce qui est aussi préoccupant. Bien qu'il y ait des améliorations par rapport aux résultats de l'année dernière, les équipes infosec ont encore du mal à obtenir le soutien de l'ensemble de l'organisation :

  • 42 % des personnes interrogées (contre 35 % en 2016) ont déclaré que les professionnels de leur organisation qui ne sont pas spécialisés dans la sécurité comprennent les menaces de sécurité informatique auxquelles leur entreprise est confrontée.
  • 33 % disent que ceux qui comprennent soutiennent les efforts de sécurité, une augmentation par rapport aux 25 % enregistrés l'année dernière.
  • 13 % des personnes interrogées ont déclaré que les personnes extérieures à leur département sont pour la plupart "ignorantes" (contre 17 % en 2016).

Mais ce qui est peut-être le récit le plus intéressant du sondage se trouve dans l'évaluation des réponses à trois questions différentes mais liées :

  • Parmi les menaces et les défis suivants, quels sont ceux qui vous préoccupent le plus ?
  • Quels sont ceux qui vous prennent le plus de temps au cours d'une journée moyenne ?
  • Quels sont ceux qui préoccupent le plus les cadres supérieurs ou la direction de votre entreprise ?

Les tableaux ci-dessous présentent les huit principales réponses à chacune de ces questions dans l'enquête de 2017, ainsi que des données comparatives pour 2016. (Remarque : chaque question permettait un maximum de trois réponses).

La plus grande préoccupation des répondants
(2017, 2016) ? 
La plupart du temps
consommé quotidiennement
(2017, 2016) ? 
La plus grande préoccupation des cadres/direction (2017, 2016) ?
Phishing, exploitation des réseaux sociaux ou autres formes de social engineering (50%, 46%) Phishing, exploitation des réseaux sociaux ou autres formes de social engineering (35%, 25%)  Attaques sophistiquées visant directement l'organisation (34%, 33%)

Des attaques sophistiquées visant directement l'organisation (45%, 43%)

L'effort pour mesurer avec précision la posture et/ou le risque de mon organisation en matière de sécurité (35 %, 35 %) L'effort pour maintenir mon organisation en conformité avec les directives de sécurité de l'industrie et de la réglementation (30 %, 28 %)
Les fuites accidentelles de données par des utilisateurs finaux qui ne respectent pas la politique de sécurité (21%, 15%) Les efforts déployés pour que mon organisation respecte les directives de sécurité du secteur et de la réglementation (32%, 32%)  L'phishing, l'exploitation des réseaux sociaux ou d'autres formes de social engineering (28%, 24%)
Logiciels malveillants polymorphes qui échappent aux défenses basées sur les signatures (21 %, 15 %)  Failles de sécurité introduites par ma propre équipe de développement d'applications (26 %, 27 %) Vol de données ou sabotage par des initiés malveillants dans l'organisation (17 %, 29 %) 
Ransomware ou autres formes d'extorsion perpétrés par des personnes extérieures (17%, 15%) Failles de sécurité introduites par l'achat d'applications ou de systèmes disponibles sur le marché (21%, 21%) Ransomware ou autres formes d'extorsion perpétrés par des personnes extérieures (18%, 10%) 
Le vol ou le sabotage de données par des initiés malveillants au sein de l'organisation (19 %, 17 %) Les erreurs internes ou les attaques externes qui font que mon organisation ne respecte plus les exigences du secteur ou les exigences réglementaires (21 %, 19 %) L'effort pour mesurer avec précision la posture et/ou le risque de sécurité de mon organisation (18 %, 19 %)
Attaques ou exploitations des services, applications ou systèmes de stockage en nuage utilisés par mon organisation (15 %, 11 %) Fuites de données accidentelles par des utilisateurs finaux qui ne respectent pas la politique de sécurité (18 %, 19 %) Fuites de données accidentelles par des utilisateurs finaux qui ne respectent pas la politique de sécurité (18 %, 20 %) 
Vulnérabilités de sécurité introduites par ma propre équipe de développement d'applications (15 %, 20 %) Attaques sophistiquées visant directement l'organisation (16 %, 11 %)  Erreurs internes ou attaques externes qui font perdre à mon organisation sa conformité aux exigences industrielles ou réglementaires (14 %, 16 %) 

Comme l'indique le tableau, bon nombre des principales préoccupations sont restées les mêmes de 2016 à 2017, mais il y a eu des changements intéressants à noter :

  • Le phishing et les attaques de social engineering sont désormais les activités qui prennent le plus de temps pour les professionnels de l'informatique, en plus d'être la principale préoccupation (en hausse par rapport au numéro 4 en 2016).
  • Contrairement à 2016, les attaques de type "ransomware" et autres attaques basées sur l'extorsion de fonds sont désormais une préoccupation majeure pour les équipes de direction et d'encadrement.
  • Les inquiétudes concernant les activités d'État-nation, d'espionnage et de "hacktivisme" ont diminué cette année, tant pour les professionnels de l'informatique que pour les cadres. 

Ce qui reste troublant, c'est que les principales préoccupations des professionnels de l'informatique en matière de cybersécurité ne sont pas toujours partagées par leurs équipes de direction, ni ne font l'objet d'activités quotidiennes :

  • Chaque jour, les personnes interrogées sont incapables de consacrer beaucoup de temps à quatre de leurs huit principales préoccupations en matière de sécurité. C'est un signal d'alarme pour les ransomwares en particulier, qui sont la préoccupation numéro 5 des professionnels et des cadres de l'informatique, mais qui ne figurent pas parmi les principales mesures à prendre.
  • Les professionnels de l'informatique et leurs équipes de direction ne sont que partiellement alignés en ce qui concerne les menaces pressantes. Seuls cinq des huit principaux sujets de préoccupation des répondants sont partagés par les cadres de leurs organisations (bien qu'il y ait eu une amélioration par rapport à 2016, où seuls quatre des huit sujets de préoccupation correspondaient entre les deux).

Il y a un risque accru pour les organisations si les équipes, les gestionnaires et les cadres de l'informatique continuent à travailler à contre-courant. Ce décalage a été cité comme un "thème de commentaire" parmi les répondants, le rapport déclarant : "Comme par le passé, les professionnels de la sécurité disent qu'ils continuent à se battre avec une direction d'entreprise qui fixe les priorités différemment de ce qu'elle ferait".

Le consommateur moyen n'est ni conscient ni protégé contre le phishing et le social engineering

Cette année, l'enquête a demandé aux professionnels de l'informatique quels étaient, selon eux, les principaux problèmes du consommateur américain moyen, un sujet qui n'avait pas été abordé les années précédentes :

  • Le manque de sensibilisation au phishing et aux attaques de social engineering a été désigné comme la menace la plus importante.
  • La "violation constante de l'information des consommateurs par les entreprises auxquelles ces données sont confiées" est le deuxième défi informatique le plus souvent cité par les consommateurs.
  • Seulement 14 % des personnes interrogées estiment que les données personnelles du consommateur américain moyen sont plus sûres maintenant qu'elles l'étaient en 2016.  

Alors... que signifie le manque de sensibilisation du consommateur moyen au sein de l'entreprise ? La réalité est que, généralement, ces consommateurs sont aussi des employés. Ce qu'ils ne savent pas peut avoir un impact sur leur sécurité personnelle mais aussi sur la posture de sécurité de votre organisation. Et leurs habitudes personnelles et leur manque de connaissances se répercutent absolument sur le lieu de travail, comme le montre notre récent rapport sur les risques des utilisateurs.

Ainsi, en plus de mettre en place des mesures de protection techniques (comme la liste blanche, les mises à jour antivirus et les correctifs de vulnérabilité), les organisations doivent donner la priorité à la formation à la sécurité et mettre en place des programmes conçus pour sensibiliser, éduquer les utilisateurs et rationaliser le signalement et la réponse aux menaces potentielles de phishing. Notre suite de formation anti-phishing offre une option idéale pour les organisations de toutes tailles car elle associe nos tests de phishing ThreatSim®, nos modules de formation interactifs et nos produits de reporting par e-mail PhishAlarm® pour offrir une solution complète de gestion des risques pour l'utilisateur final.