Des attaques d’abord opportunistes, des outils comme les EDR (Endpoint Detection and Response) qui peuvent faire la différence, et des délais moyens de réponse à incident de cinquante jours. L’association InterCERT France vient de publier un rapport instructif après un an d’analyse de réponse à incidents cyber.
L’organisation, qui compte plus de cent membres, est destinée à favoriser les échanges d’informations techniques et de bonnes pratiques. Plus largement, l’InterCERT, structuré en association depuis octobre 2021 après une création informelle au début des années 2000, vise à diffuser les connaissances et les savoir-faire.
Ce premier rapport, une nouveauté pour l’association, vise justement à “partager des enseignements concrets” pour “renforcer la résilience collective”. Après 212 questionnaires complétés par 95 CERT, quels sont les résultats les plus saillants? Tout d’abord, pour 73% des répondants, les attaques sont d’abord opportunistes et non ciblées. Même topo pour les attaques par rançongiciel: seulement 10% des répondants estiment avoir été ciblés.
L’appât du gain
“La majorité des attaques sont conduites à des fins lucratives: l’appât du gain reste la principale motivation des attaquants”, relève l’InterCert dans son rapport. Mais “les secteurs dits critiques, tels que la défense, l’aérospatial, la santé, l’énergie et le secteur public, sont particulièrement vulnérables au cyber-espionnage”, poursuit sans surprise l’association.
Le temps moyen de détection d’une attaque, 27 jours, semble directement corrélé à la taille de l’entreprise. “Plus la structure est importante et complexe, plus le temps de détection est long”, relève l’InterCert. Les effets d’une intrusion sautent généralement tout de suite aux yeux dans les petites organisations.
Mais les analystes font parfois chou blanc. “Dans près d’un cas sur 10, il n’a pas été possible d’identifier d’outil malveillant spécifique”, remarque l’InterCert. Au diapason ici de l’Anssi qui souligne, signale l’association, “une utilisation de plus en plus forte de LOLbins (Living Off the Land Binaries”, ces exécutables et des scripts légitimes déjà présents sur un système.
Souche pas toujours identifiée
De même, dans 40% des attaques par rançongiciel, la souche n’a pas pu être identifiée. Le temps de réponse moyen d’une telle attaque est évalué à 50 jours, avec une charge de travail moyenne de 40 jours d’une personne.
Dans les deux tiers des attaques, celle-ci s’accompagne d’une exfiltration de données. Dix-sept pour cent seulement des répondants signalent des effacements des sauvegardes. Mais ces dernières sont considérées comme compromises par un tiers des répondants. Et un quart d’entre eux signalent une utilité partielle des sauvegardes, par exemple à cause d’une absence de test.
Après ces attaques, la moitié des CERT mis à contribution dans l’assistance déplorent “ne pas disposer des sources de logs suffisantes à la résolution”. Les logiciels de type EDR sont eux jugés “particulièrement utiles voire différenciants dans un incident sur deux”. Le déploiement d’un tel logiciel de cybersécurité est considéré comme la mesure phare dans la phase de reconstruction.
Intervention compliquée par le déni
La moitié des incidents gérés par des CERT en 2023 ont duré moins de huit jours.
Mais 14% des crises ont duré plus de 32 jours, le plus souvent quand un CERT externe est sollicité. “De nombreuses victimes ont tendance à prévenir de la présence d’une compromission le plus tard possible, souvent en fin de semaine, quelques heures avant le week-end”, regrette l’InterCert dans son rapport.
“Il convient de pousser les entreprises à dépasser cet état de déni, qui empêche les équipes d’intervenir à un stade encore gérable de la crise, et ainsi les faire accepter au plus tôt la présence d’un incident afin de pouvoir agir au plus vite dans le sens d’une résolution”, conclut l’association.