Verizon et Alliancy ont réuni une sélection de chief information security officers, à l’occasion de la présentation de la dernière édition du Data Breach Investigation Report. L’occasion d’échanger sur les ressorts d’une cybersécurité plus collective.

Rendez-vous attendu, la présentation en France de la 16^e édition annuelle du Data Breach Investigation Report (DBIR) a permis d’animer la discussion, début juillet, lors d’un échange entre chief information security officers, réunis au Cyber Campus. Dans cette enquête, l’opérateur Verizon décortique en effet les données à sa disposition sur les cyberattaquants et sur leurs outils

de prédilection. Le DBIR 2023 porte sur plus de 16000 incidents de sécurité, dont 5199 compromissions, c’est-à-dire attaques ayant eu un impact avéré sur l’organisation ciblée. Pour obtenir ces chiffres, le Verizon Threat Research Advisory Center, créé en 2003, s’appuie sur ses propres résultats d’enquête, mais également sur les données de près de 80 contributeurs externes, issus de la société civile et des forces de l’ordre, notamment à l’international.

En partenariat avec Alliancy, Verizon a ainsi réuni au 13^e étage du Cyber Campus, dans le fameux et confortable « Sky Lounge », des CISO et RSSI français pour échanger sur les enseignements de l’enquête et pour discuter de leurs attentes vis-à-vis d’une cybersécurité plus collective et collaborative.

Recherche de gains financiers et fragilités humaines

Marc Chousterman, principal cybersecurity architect pour Verizon en France, a présenté les points qui lui paraissaient les plus saillants pour cette revue annuelle. Le rapport original est fort d’une centaine de pages, mais une note exécutive en résume les principales clés à garder en tête pour des décideurs.

En particulier, on y note le caractère extrêmement lucratif de l’ingénierie sociale comme axe d’attaque. La compromission de messagerie professionnelle a par exemple doublé sur l’échantillon observé entre 2021 et 2022. Près de trois compromissions avérées sur quatre impliquent un facteur humain, même si 83% d’entre elles sont aussi le fait d’acteurs externes à l’organisation, plutôt qu’internes.

La recherche d’un gain économique rapide est sans surprise la principale motivation, derrière 95% des attaques. Ce qui explique aussi en partie le succès toujours constant des ransomwares depuis cinq ans. En 2022, près d’un quart des compromissions observées dans le DBIR sont le fruit des rançongiciels, qui portent bien leur titre de poids lourds de la cybermenace actuelle, face auquel les entreprises doivent s’adapter.

Pour pénétrer dans les systèmes d’une entreprise, les attaquants utilisent majoritairement le vol d’identifiants, puis dans une moindre mesure le phishing et l’exploitation de vulnérabilité. Ce qui n’empêche pas ce dernier vecteur de causer beaucoup de vagues, comme l’a rappelé Marc Chousterman en détaillant le cas médiatique de Log4j. Parmi les incidents étudiés, ceux qui étaient commentés d’une note (environ un sur cinq) faisaient référence à Log4J pour 90% d’entre eux quand il était question d’exploitation de vulnérabilité.

Au-delà du cas particulier du DBIR, qui est en soi une intéressante œuvre collective, la question du partage d’information en cybersécurité a également été au cœur des échanges qui ont suivi la présentation du rapport. Alliancy avait en effet demandé à trois CISO de venir partager leur expérience en la matière ; autour d’une question : jusqu’où peut-on aller en matière de cybersécurité collective ?

 

Pas question d’être concurrents en cybersécurité

Ainsi, après avoir été Group CISO chez CNP Assurances, entreprise au sein de laquelle il a passé plus de 20 ans, Frank Van Caenegem, qui vient de rejoindre Schneider Electric comme Cybersecurity Vice-President & CISO EMEA, a expliqué que les entreprises avaient tout intérêt à mieux échanger sur les sujets cyber. Il a rappelé que plusieurs niveaux d’informations existaient naturellement et que s’il ne s’agissait évidemment pas de mettre sur la place publique des KPI de sécurité, comme le craignent souvent les directions d’entreprise. Il existe malgré tout de nombreux types d’informations autour desquelles les organisations ont tout intérêt à collaborer. Bien sûr, les CERT permettent déjà un premier niveau d’échange, de même que les rencontres plus informelles entre CISO, mais la collaboration peut aussi dépasser ces deux bornes.

Un avis partagé par Stéphane Nappo, VP Global CISO du Groupe SEB qui estime qu’à défaut de pouvoir communiquer le cœur d’une compromission, une entreprise doit apprendre à parler des éléments de contexte entourant l’attaque. Le spécialiste a noté que beaucoup d’organisations sont de grande consommatrice de données venues de l’écosystème, mais « pour recevoir, il faut commencer par savoir donner » a-t-il aussi estimé.

Pour Frédérick Meyer, CISO d’Auchan Retail International, il y a clairement à s’inspirer de certaines pratiques sectorielles, notamment aux Etats-Unis, car en matière de cybersécurité « il n’est pas question d’être concurrents ». Il a ainsi profité de la rencontre pour détailler comment l’information était partagée au sein de son groupe et, de manière plus générale chez les acteurs du retail.

Au-delà de la question spécifique des supply chain attacks, vrai sujet de préoccupation, d’ailleurs souligné par Marc Chousterman au travers du DBIR, les experts cyber réunis ont également abordé la question épineuse de la responsabilité d’une organisation vis-à-vis de son écosystème de fournisseurs et de partenaires. Ce thème, qui dépasse le « simple » partage d’information, est au cœur de la notion d’une sécurité plus collective. Mais comment analyser efficacement la cybersécurité d’un tiers ? Et comment l’aider à grandir, plutôt que de le punir, quand sa posture met en danger celles d’autres acteurs de la chaine de valeur ?

Nos invités ont donc débattu des agences de notation cyber nées ces dernières années. Si la pratique du cyber rating s’impose en effet de plus en plus, elle n’est pas sans limites. Certaines évaluations peuvent donner des résultats parfois diamétralement opposés : il faut donc en faire un outil prosaïque pour convaincre des interlocuteurs… mais surtout, choisir ses combats. Par ailleurs, les CISO ont témoigné de la fine ligne de crête sur laquelle ils doivent marcher quand il s’agit d’évaluer formellement leurs prestataires : la multiplication des questionnaires de sécurité, une pratique qui s’est installée durablement dans les grandes entreprises, peut en elle-même provoquer des dégâts sur l’écosystème, en étant très chronophage et en ne pouvant pas toujours, par nature, aller au fond des problèmes. « Faire de la conformité, c’est bien, mais ce n’est pas pour autant faire de la sécurité », ont expliqué en substance les témoins réunis par Alliancy. Une manière d’en appeler au bon sens, au-delà des pures questions techniques et réglementaires qui traversent en permanence l’écosystème cyber.