Sécurité IT : les défenses fragiles de la vente au détail

Pare-feuxRisquesSécurité
ddos-apt-retail

Le Ponemon Institute constate que le secteur de la vente au détail est globalement mal préparé face aux attaques informatiques persistantes (APT) et au déni de service (DDoS).

Qu’elles soient persistantes (APT, conçues pour contourner des mécanismes de défenses précis) ou par déni de service distribué (DDoS, visant à saturer des ressources en les bombardant de requêtes), les attaques informatiques sont encore globalement mal circonscrites… et tout simplement mal détectées par les entreprises du secteur de la vente au détail.

C’est l’un des principaux constats établis dans le rapport « Advanced Threats in Retail » (document PDF, 35 pages) réalisé par le Ponemon Institute pour le compte d’Arbor Networks (solutions de gestion et de protection des réseaux).

Capacité à mesurer l’efficacité des dispositifs de sécurité mis en place, niveau d’investissement dans la technologie et l’expertise… Plusieurs problématiques sont abordées dans cette étude conduite auprès de professionnels de l’IT en Amérique du Nord et dans 16 pays de la zone EMEA (Europe, Moyen-Orient, Afrique) dont la France.

Les 675 réponses sélectionnées émanent de techniciens, de responsables, voire de directeurs qui ont un point en commun : tous connaissent la stratégie cybersécurité de leur organisation et y sont impliqués sur un ou plusieurs plans. 19 % d’entre eux exercent dans une entreprise qui exploite le canal Internet tout en disposant d’au moins un magasin physique.

En faisant la moyenne des entreprises interrogées (des « petites PME » aux groupes de plus de 75 000 collaborateurs), on en arrive à environ une cyber-attaque sérieuse subie par mois. Dans la plupart des cas (74 %), il s’agit d’une APT (« Advanced Persistent Threat ») spécialement élaborée pour passer outre des pare-feu, des antivirus ou encore des systèmes de détection d’intrusions.

Globalement, on s’inquiète plus des APT (61 %) que du DDoS (53 %), jugé moins difficile à détecter et à circonscrire. Mais la différence entre les deux types d’attaques est encore régulièrement faite « au feeling ». Les entreprises s’appuient parfois sur l’analyse du comportement et des performances de leurs applications et systèmes. Elles recourent plus rarement à des données communiquées par des partenaires ou des clients.

Des menaces longue durée

En moyenne, 11 personnes sont impliquées pour répondre à un incident de sécurité. La piste la plus explorée lors des enquêtes (99 % des cas) est celle d’une attaque ciblée destinée à voler des données clients. L’éventualité d’un DDoS est très rarement exclue (98 %) ; moins en tout cas que  les mauvaises manipulations d’un employé (83 %) ou d’un tiers externe à l’entreprise (69 %).

Le délai moyen pour détecter une APT s’élève à 197 jours. Et il faut 39 jours supplémentaires pour éliminer la menace. Ces valeurs sont respectivement de 39 et 18 jours pour les dénis de service distribués. Ce qui, dans l’absolu, laisse largement le temps aux cyber-criminels de commettre leur forfait. D’autant plus que les professionnels sondés ne sont que 29 % à estimer que cette réactivité s’améliorera dans les 12 prochains mois.

La mesure la plus adoptée face aux APT (42 % des répondants l’évoquent) consiste à mettre en place des outils de contrôle destinés à prévenir tout accès frauduleux. Dans 37 % des cas, on se concentre sur le deuxième rempart : la détection et le blocage des attaques en cours.

Les pourcentages sont similaires dans le cas du DDoS. Dans une moindre mesure, les entreprises acceptent de partager des informations de sécurité stratégiques avec d’autres sociétés, voire avec des organes gouvernementaux. Une ouverture mesurée, mais cruciale à l’heure où moins de la moitié d’entre elles considèrent disposer d’un personnel efficace pour lutter contre l’un et l’autre type d’attaque.

L’analyse du trafic réseau s’impose comme une priorité dans la lutte contre les APT. Suivent les technologies de type sandbox destinées à isoler les menaces, puis les solutions de protection des actifs numériques et les outils destinés à repérer les points faibles dans l’infrastructure IT. Quant aux budgets, ils sont alloués à 37 % au personnel interne, à 34 % aux technologies et à 24 % aux services managés. Sachant qu’au global, la sécurité représente environ 8 % des dépenses IT.

Le Ponemon Institute note que les entreprises du secteur de la finance sont plus agile pour détecter les APT. Il leur faut 98 jours en moyenne. Elles sont aussi plus confiante en leur capacité à réduire le temps nécessaire à cette identification.

Crédit image : kentoh – Shutterstock.com

Lire aussi :

Lire la biographie de l´auteur  Masquer la biographie de l´auteur