Le prestataire de sécurité Imperva a détaillé auprès de notre confrère Philippe Guerrier (ITespresso) les technologies les plus courues des pirates. Et met en garde les entreprises face à la montée en puissance des attaques automatisées.
L’approche économique de la protection des données : la France en retard selon Imperva
« La puissance de feu des pirates est énorme », souligne Sylvain Gil. A travers l’analyse des honeypots d’Imperva (les serveurs-leurres du fournisseur de solutions de sécurité IT destinées à observer le comportement des hackers) réalisée en août, on recense 27 attaques par heure en mode « veilleuse » puis la cadence s’accélère en cas de déclenchement de l’offensive : 25 000 attaques par heure, soit sept par seconde. Les tirs sont nourris… et concentrés : « 29 % des attaques proviennent de 10 sources actives » (correspond à une adresse IP).
« Entreprises, préparez-vous aux attaques automatisées », prévient Sylvain Gil. L’expert d’Imperva, qui collabore avec la division R&D du prestataire en Israël, recense quatre principales attaques : « directory traversal » (vol des fichiers de mots de passe sur les serveurs Web en détournant le chemin d’accès), SQL injection (attaque à partir d’une page Web visant à interroger une base de données), XSS (cross-site scripting, redirection vers une page Web à l’insu de l’utilisateur via le navigateur), RFI (remote file include, distribution de logiciels malveillants sur d’autres serveurs).
Face à ces menaces, Fabienne Ranseau, directrice commerciale d’Imperva, constate en France un « manque de maturité » vis-à-vis de l’approche « sécurité combinée jusqu’au niveau de la couche 7 du modèle OSI ».Elle pointe également des lacunes dans l’audit des données sensibles à protéger et des failles dans la chaîne de responsabilité économique pour la gestion des bases de données au sein des entreprises.
« Généralement, les responsables prennent en charge l’intégrité des données mais pas leur sécurité. Qui paie en cas de vol de données ? On ne le sait pas. Des pays comme les Etats-Unis, le Royaume-Uni et l’Allemagne sont en avance par rapport à nous sur cette approche économique au-delà de la technique », constate Fabienne Ranseau. Un retard que la Commission européenne a bien l’intention de combler dans le cadre des débats sur la révision de la direction des données personnelles.
