Que valent vos données pour les cybercriminels?
Des décideurs de grandes entreprises me demandent souvent comment s’y prendre pour établir un budget de sécurité. Même si la plupart des entreprises bien établies utilisent déjà une ou plusieurs des approches courantes, l’évolution constante du monde de la sécurité justifie leur recherche constante d’une nouvelle perspective.
Afin de bien comprendre les risques auxquels elles font face aujourd’hui et d’établir un budget en conséquence, les entreprises doivent revoir entièrement leur perception des cybermenaces.
Qu’est-ce qui constitue un « risque » dans le monde numérique?
Le risque, dans ce contexte, est un risque d’affaires : impact sur le chiffre d’affaires, la réputation ou les relations avec la clientèle.
Les évaluations traditionnelles des risques de sécurité TI se font selon une approche dite « défensive », qui vise à déterminer le risque en fonction de la menace, de la vulnérabilité et de l’impact. On commence par identifier une menace donnée, puis on essaie de déterminer à quel point l’organisation y est vulnérable et quel serait l’impact sur les affaires d’une attaque exploitant cette vulnérabilité. L’entreprise peut ensuite déterminer combien investir, et dans quels types de ressources, pour bloquer cette forme particulière d’attaque.
Cependant, cette approche n’est pas tellement utile dans la vraie vie. En pratique, la probabilité qu’une menace exploite une vulnérabilité précise est devenue très faible dans les organisations bien gérées, même si, en même temps, l’impact de tels incidents s’accroît sans cesse. Cela limite l’utilité des modèles traditionnels pour prendre des décisions d’ordre budgétaire.
Ce qui manque dans cette équation, c’est le « mobile », pour parler comme un détective. Pour quelles raisons voudrait-on vous attaquer?
C’est l’argent qui motive les cybercriminels
Internet est devenu une véritable autoroute du commerce électronique, où la valeur pour le client va dans un sens et l’argent dans l’autre. En 2014, la valeur des transactions de commerce électronique a dépassé le billion de dollars – et ce nombre va continuer d’augmenter dans les années à venir.
Le volume élevé et la valeur des transactions par Internet attirent de nouveaux types d’adversaires : les cybercriminels et les espions. Contrairement aux pirates informatiques traditionnels, ils ne cherchent pas à causer des perturbations aléatoires.
Ils veulent que leurs activités rapportent.
Calculer le risque du point de vue de l’attaquant
Ce nouveau profil d’adversaires nous amène à voir le risque différemment, c’est-à-dire en se plaçant du point de vue de l’attaquant. Dans ce nouveau modèle, le risque devient fonction du profit que l’attaquant peut tirer d’une attaque contre une organisation, compte tenu de ce que l’attaque lui coûtera et des probabilités de conséquences néfastes.
Mettons ce nouveau modèle à l’essai. Nous allons utiliser l’exemple des comptes de cartes de crédit volés, étant donné qu’il s’agit du produit de la cybercriminalité le plus fréquemment revendu.
Le prix des numéros de cartes de crédit sur le marché noir varie en fonction de l’offre et de la demande. Récemment, un numéro de carte de crédit se vendait en moyenne entre 15 et 20 $, un prix qu’on s’attend à voir chuter jusqu’à environ 1 $ étant donné l’offre trop élevée engendrée par un certain nombre d’attaques contre d’importants détaillants l’an dernier. Ainsi, si une attaque permet d’obtenir 10 millions de dossiers de carte de crédit, même au prix faible d’un dollar par numéro, l’attaque vaut potentiellement 10 millions $.
Combien coûte la réalisation d’une attaque pouvant produire un tel rendement? La réponse peut varier, mais dans le tableau ci-dessous, on peut voir les prix habituels de certains outils et services que les adversaires peuvent se procurer pour monter une attaque contre une organisation :
| Code source de logiciels malveillants | 100$ – 100 000$ |
| Exploits (ou exploiteurs) | 150$ – 2 200$ |
| Hébergement pare-balles | 150$ – 250$ par mois |
| Paiement pour installation de logiciels malveillants, par pays | 6$ – 150$ pour 1 000 installations |
| Vulnérabilité jour zéro | 100 000$ – 5 000 000$ |
En se fondant sur ces chiffres et les renseignements tirés des récentes attaques, un cybercriminel peut mettre en place un arsenal puissant pour moins de 500 000 $. Ainsi, on obtient un retour sur investissement de l’ordre de 2 000 %!
C’est, sans conteste, un rendement extrêmement attrayant. Qu’en est-il de la dernière variable, les conséquences négatives? L’attaquant enfreint la loi et court sans doute le risque d’une longue peine d’emprisonnement, tout comme quelqu’un qui aurait dévalisé une banque, n’est-ce pas?
Pas nécessairement.
C’est là où le cybercrime devient une question géopolitique. Les lois sur la cybercriminalité ne sont pas uniformes et, dans de nombreux pays, les attaquants se sentent en sécurité tant que leurs attaques ne ciblent pas les entreprises locales ou les gouvernements. Les organisations de cybercriminalité qui travaillent dans ces pays sont souvent exploitées comme des entreprises, et les lois des autres pays ne les touchent pratiquement pas.
En conclusion
En calculant le rendement qu’un attaquant peut obtenir de vos données, vous pouvez déterminer si votre entreprise constitue une cible lucrative.
En fin de compte, le meilleur conseil consiste à utiliser des approches multiples quand vous évaluez vos risques et votre budget de sécurité, tant le modèle de menace traditionnel que le modèle de risque centré sur l’attaquant. En sachant ce que valent vos données, vous aurez une meilleure idée du budget qu’il faut consacrer à leur protection.
La protection dont vous avez besoin dépend aussi, jusqu’à un certain point, de la nature des menaces auxquelles vous faites face; alors n’hésitez pas à consulter la vaste gamme de solutions de sécurité de que Bell offre aux moyennes et aux grandes entreprises ainsi qu’aux petites entreprises.
Par Matt Broda, conseiller technique principal en sécurité chez Bell
Laissez-nous savoir ce que vous en pensez