« Une attaque de grande envergure peut rapporter autant que 50 petites », déclare Laurent Heslault, Directeur des stratégies de sécurité de Symantec. « Alors que le niveau de sophistication continue de croître parmi les attaquants, ceux-ci se montrent beaucoup plus patients et frappent lorsque cela en vaut vraiment la peine ».

En 2013, le nombre de violations de données a augmenté de 62 % par rapport à l'année précédente, avec 253 cas recensés et plus de 552 millions d'identités exposées, ce qui prouve que la cybercriminalité reste une véritable menace pour les particuliers et les entreprises. « Les incidents correctement gérés peuvent améliorer la perception qu'ont les clients d'une société, mais si cette dernière peine à les maîtriser, les conséquences peuvent être désastreuses », confie Ed Ferrara, VP et analyste en chef chez Forrester Research. « Les clients qui n'ont plus confiance dans la gestion de leurs données personnelles et confidentielles n'hésitent pas à se tourner vers quelqu'un d'autre ».

Il est plus difficile de se défendre que d'attaquer

La taille et la portée des attaques est telle qu'elle met à mal la réputation des entreprises et entame la confiance des clients dont les données personnelles (numéros de cartes de crédit, mots de passe, dossiers médicaux, comptes bancaires, etc.) sont de plus en plus compromises.

Chacune des huit attaques de grande ampleur perpétrées en 2013 a causé la perte de dizaines de millions d'enregistrements de données. En 2012, une seule attaque avait pris les mêmes proportions.

« Le succès appelle le succès et surtout pour les cybercriminels », explique Laurent Heslault. « Vu les gains potentiels, les attaques d'envergure vont s’inscrire dans la durée. Les entreprises de toutes tailles doivent réexaminer, repenser, voire redéfinir leur politique de sécurité. »

La France, au 15e rang mondial, se distingue par le phishing et les attaques ciblées

La France se classe 15e au rang mondial des pays où la cybercriminalité est la plus active, à nouveau en progression par rapport à 2012, représentant 1,69 % de l’ensemble des cyber-menaces. Les Etats-Unis, la Chine et l’Inde occupent respectivement les trois premières places du podium.

La France connait une recrudescence des attaques ciblées, et se classe ainsi au 8ème rang mondial. Fait distinctif pour l’Hexagone : ce type d’attaques vise en très grande majorité (77,46 %) les PME (ou organisations de moins de 250 employés) avec, comme secteurs en ligne de mire, les administrations, l’industrie et le secteur de la banque-finance-immobilier en premiers lieux.

L’Hexagone se distingue par ailleurs sur le phishing, au 7e rang mondial et 3e rang européen pour leur hébergement. De même, la France occupe le 7e rang mondial et le 5e rang européen des pays à l’origine des attaques contre les réseaux, et la 4e place européenne pour les attaques web.

Une explosion des ransomwares et des menaces sur mobiles et les réseaux sociaux de plus en plus pointues

Pour les particuliers, la multiplication par 5 du nombre de « ransomwares », ces maliciels qui bloquent l’ordinateur de l’utilisateur et le rançonne pour qu’il retrouve l’accès à ses données, est le principal fait marquant de 2013. Ces maliciels, particulièrement lucratifs et violents, ont pu générer plusieurs dizaines de millions de dollars pour les cybercriminels et ont connu une mutation en « cryptolocker », chiffrant désormais les données de l’utilisateur, les rendant irrécupérables.

Les menaces sur mobile, tous types confondus, deviennent également plus sophistiquées. Plutôt que d’en inventer des nouveaux, les cybercriminels préfèrent perfectionner les maliciels existant, comme l’indique l’augmentation de leur nombre de variantes. Ces nouvelles menaces ont avant tout pour objectif de suivre l’utilisateur (pour 33 % d’entre eux) et de collecter des données personnelles (20 %).

Sur les réseaux sociaux, ce sont les « fausses offres » qui prospèrent, représentant désormais 81 % des maliciels sur ce type de média (ils n’étaient « que » 56 % en 2012). Le cocktail « social + mobile » peut se révéler explosif, surtout dans la course aux « Likes » ou « Unlikes » qui accroissent encore la viralité de ce type de menaces.

Des menaces à la sophistication accrue, avec une forte progression des attaques ciblées, des vulnérabilités zero-day, des sites et des attaques web

Les attaques ciblées ont progressé de 91 % (contre + 42 % entre 2011 et 2012) et duré en moyenne trois fois plus longtemps qu'en 2012. Elles se caractérisent également par un nombre d’emails et de personnes ciblées moindre, se révélant ainsi plus précises et plus sophistiquées. Ces attaques ciblées touchent essentiellement les administrations, les services et l’industrie manufacturière, concernent en premier lieu les organisations de plus de 2 500 employés (39 %) et les PME (30 %) et, au sein de celles-ci, les fonctions les plus exposées aux emails extérieurs sont les assistants et les départements relations publiques, qui permettent ensuite un accès aux différents cadres dirigeants.

Les attaques web ont également cru de 25 % avec quelques 568 700 d’entre elles bloquées quotidiennement, même si, il est vrai, leur nombre tend à diminuer depuis octobre.

Celles-ci ont par ailleurs de plus en plus pour objectif les campagnes de « malvertising » (ou « publicité à mauvais escient »).

Le développement inédit d’attaques Linux, la forte augmentation du nombre de vulnérabilités zero-day découvertes en 2013 (23, soit + 61 % sur un an), et plus largement le nombre de failles découvertes en 2013, montrent véritablement une sophistication accrue des menaces et des attaques. Par ailleurs, l’accroissement des vulnérabilités découvertes sur les sites Internet légitimes, dont 1/8 présente des vulnérabilités critiques non-patchées, vient amplifier une tendance contre laquelle entreprises et particuliers peuvent lutter.

Comment être cyber-résilient, pour les entreprises comme pour les particuliers

Alors que les données issues des terminaux intelligents, applications et autres services en ligne ne cessent d'aiguiser l'appétit des cybercriminels, les entreprises et les particuliers peuvent prendre certaines mesures pour mieux se protéger, que ce soit contre les violations de données de grande envergure, les attaques ciblées ou les spams courants. Symantec recommande d'adopter les meilleures pratiques suivantes :

Pour les entreprises :

•          Connaître ses données : la protection doit concerner essentiellement les données, pas les équipements ou le datacenter. Savoir précisément où les données confidentielles résident et transitent permet d’adopter les meilleures règles et procédures de protection ;

•          Former les employés : prodiguer des conseils sur la protection des données, y compris sur les règles et procédures de protection des données confidentielles stockées sur les équipements personnels et professionnels ;

•          Adopter une politique de sécurité efficace : renforcer l’infrastructure de sécurité en misant sur des technologies éprouvées en matière de prévention des pertes de données, de protection des réseaux et points de contact, de cryptage et d'authentification.

Pour les particuliers :

•          Rester à la pointe de la sécurité : choisir un mot de passe fort et installer les derniers logiciels de sécurité en date sur les équipements connectés, y compris les smartphones ;

•          Faire preuve de vigilance : examiner vos relevés bancaires et de cartes de crédit pour repérer les irrégularités, user de prudence face aux e-mails inattendus ou non sollicités, et se méfier des offres en ligne trop alléchantes pour être vraies ;

•          Connaître ses interlocuteurs : se familiariser avec les politiques des vendeurs et services en ligne susceptibles de demander dos informations personnelles ou bancaires. Ne pas oublier de consulter la page dédiée au partage des informations confidentielles sur le site web officiel de la société.