Les entreprises dépensent beaucoup d’argent pour défendre leurs réseaux et leurs actifs contre les cyber-menaces. Ainsi, d’après Kaspersky Labs, le budget moyen consacré à la sécurité se situe autour de 9 millions de dollars environ par an. Sans compter que les atteintes à la protection des données peuvent leur coûter aussi plusieurs millions de dollars. Malheureusement pour elles, les cybercriminels peuvent trouver des outils de piratage bon marché et relativement faciles à utiliser, si bien que le ticket d'entrée pour mener des attaques est extrêmement bas.

Un écart de coût sans commune mesure

L’équation « coût d’une attaque vs. coût de la défense » est clairement inégale. Les attaquants peuvent se permettre de vendre les données piratées pour presque rien, alors que le coût pour l'entreprise (et la victime, dans le cas où ses informations sont exploitées) est nettement plus élevé. Top10VPN, le comparatif français et indépendant des offres VPN, a estimé qu’un cybercriminel pouvait acheter l'identité numérique complète d'une personne - avec les identifiants de connexions à des sites comme Amazon, Uber, Spotify, Gmail, Paypal, Twitter et même GrubHub et match.com – pour à peine 1000 dollars. Et des identifiants de comptes individuels, mis à part les comptes de sites de e-commerce et de banques, se monnayent pour moins de 100 dollars.

Le rapport Black Market d'Armour a révélé que sur le Dark Web, les données d’identification personnelles (également appelées informations nominatives ou PII), qui ont pourtant plus de valeur, se monnayent toujours en dessous de 200 dollars par type de données. Quant aux données de cartes de crédit Visa et Mastercard, elles se revendent seulement pour 10 dollars l’unité. Même les données bancaires de comptes complets ne valent pas plus de 1000 dollars, y compris pour des comptent dont le crédit atteint 15 000 dollars. Souvent également, les pirates s’échangent gratuitement des données plus anciennes. Il existe donc un sérieux décalage entre ce marché illégal de revente de données et les pénalités imposées aux entreprises qui se font pirater leurs données. Le dernier rapport « Coût d’une fuite de données » d'IBM indique qu’une donnée perdue coûte en moyenne 233 dollars à une entreprise, et peut être beaucoup plus dans des secteurs plus strictement réglementés.

D’après l'indice Hacking Tools Price Index de Top10VPN, les pirates peuvent se fournir en malware pour la modique somme de 45 dollars, et ils peuvent acheter des didacticiels expliquant comment mener des attaques pour 5 dollars seulement. Il est rare que les criminels doivent payer plus de 1000 dollars pour acheter un composant d’attaque. C’est le cas, en particulier, des exploits zero-day, dont le prix ne dépasse pas de 3000 dollars, ou encore des kits simulant les tours de relais cellulaires pour intercepter les données des appels téléphoniques, dont le prix peut dépasser les 28 000 dollars.

Mais l'achat d'un malware unitaire ou même d'un kit de phishing complet ne suffit pas pour lancer une attaque : pour cela, il faut de l'hébergement, des canaux de distribution, de l’obfuscation de malware pour rendre le code illisible, des vérificateurs de compte et plus encore. Dans son nouveau rapport, intitulé « Marché noir : estimer le coût du Pwnership », Deloitte ne s’est pas contenté d'énumérer les coûts parcellaires, mais a calculé le coût opérationnel total. Le cabinet a essayé de tout prendre en compte, depuis les malwares et les keyloggers jusqu’à l'hébergement de domaines, les proxies, les VPN, la distribution par courriel, l’obfuscation de code et d’autres éléments, pour estimer le montant que doivent investir les cybercriminels pour lancer une campagne complète contre des entreprises. « Les groupes qui mènent ces campagnes de grande envergure ont besoin de plusieurs niveaux de services », a expliqué Loucif Kharouni, responsable du renseignement sur les menaces chez Deloitte Cyber Risk Services. « Pour diffuser un cheval de Troie bancaire, un pirate doit utiliser au moins cinq ou six services ».

La grille tarifaire des cyberattaques

Le rapport fait remarquer que le « Dark Web » offre pléthore de services facilement accessibles pour répondre aux besoins de chaque attaquant, et que les prix s'adaptent à toutes les bourses. Un pirate a besoin d’un serveur compromis pour lancer une attaque de phishing par keylogging ? Pas de problème. Vous voulez lancer votre propre campagne de Trojan d'accès à distance ? Tout aussi simple. Des campagnes entières ne coûtent pas plus qu'un repas dans un bon restaurant. Par exemple, une campagne d'hameçonnage complète, incluant l'hébergement et le kit de phishing coûte 500 dollars par mois en moyenne, mais les tarifs démarrent à 30 par mois. Autre exemple, une campagne de vol de données et de keylogging, pour l’enregistrement des frappes au clavier (malware, hébergement et distribution) coûte 723 dollars en moyenne, mais là encore, on trouve des offres à partir de 183 dollars. Les attaques par ransomware et par chevaux de Troie d'accès à distance coûtent 1000 dollars en moyenne par campagne. Enfin, une campagne d’attaque impliquant un Trojan bancaire demande un investissement initial de 1400 dollars environ, mais son coût peut grimper à 3500 dollars.

Un ticket d’entrée de plus en plus bas

Le cabinet Deloitte a estimé qu'une cyberattaque bas de gamme, dont l’investissement ne dépasse pas 34 dollars par mois, peut rapporter 25 000 dollars, et que des attaques plus coûteuses et plus sophistiquées, pour lesquelles il faut investir quelques milliers de dollars, peuvent rapporter jusqu'à un million de dollars par mois. À l’inverse, IBM a estimé que, pour une entreprise, le coût moyen d'une atteinte à la protection des données est de l’ordre de 3,86 millions de dollars.

Le faible investissement nécessaire pour lancer une attaque de base, la facilité relative avec laquelle les pirates peuvent déployer des attaques et les retours élevés sur investissement indiquent que le nombre potentiel d'acteurs de menaces n'est pas limité par le niveau de compétence technique. « Si l'on compare la situation actuelle à celle d'il y a trois ans, beaucoup de services très ciblés n'existaient pas ou commençaient tout juste à apparaître sur le marché », a expliqué Keith Brogan, responsable des services de gestion des menaces chez Deloitte Cyber Risk Services. « Compte tenu de ce coût peu élevé et de cette facilité opérationnelle, les cybercriminels peuvent se faire de l'argent très facilement. Le ticket d’entrée est très bas. N’importe qui peut avoir accès à ces différents services et facilitateurs et gagner de l’argent assez facilement. Dans certains cas, l’imagination du pirate est la seule limite », a ajouté M. Brogan.

Selon Oliver Rochford, directeur de la recherche chez Tenable, ce faible coût d'exploitation et ce taux de rendement élevé signifient que l’écart entre les profits réalisés par les criminels et le coût de réparation des dommages est énorme. Par exemple, dans le cas des ransomwares, même si 0,05 % des victimes seulement paient la rançon, le rendement du capital investi est estimé à plus de 500 %. « Les revenus mondiaux de la cybercriminalité sont estimés à environ 1,5 billions de dollars, contre plus de 6 000 milliards de dollars pour le coût des dommages », a déclaré M. Rochford. D’après Gartner, en 2019, le marché global de la cybersécurité représentait 136 milliards de dollars. Cela signifie donc que 11 à 12 dollars de récoltés par les cybercriminels ne représentent que 1 dollar de dépenses en cybersécurité.

Comme dans le secteur de la vente de produits de sécurité, le marché des services pour cybercriminels compte un grand nombre de petits opérateurs. Selon le rapport Deloitte, le Dark Web abrite « une économie souterraine très efficace où les acteurs de la menace se spécialisent dans un produit ou un service et ne cherchent pas à diversifier leurs compétences dans des disciplines disparates et hautement techniques ». Comme l’a expliqué M. Brogan, « il est plus intéressant financièrement pour ces opérateurs d’être très pointus dans certains domaines et cela représente moins de travail pour eux. De plus, ils ont besoin de moins de connexions dans la cybercriminalité souterraine pour vendre leurs produits, et ils ont probablement moins de chance de fuites, donc moins de risque d’être repérés par les autorités ».

Différents acteurs fournissent différents types de produits et services. Les options les moins coûteuses et les moins sophistiquées offrent moins de rendement et risquent davantage d'être repérés par les systèmes de défense. Certains kits de ransomwares sont même fournis gratuitement, les auteurs prélevant un pourcentage sur les bénéfices, si bien que la mise de départ est nulle. Par contre, le fait d'investir dans des services premium augmente les chances de succès et un retour sur investissement élevé. En général, le plus compliqué pour les acteurs de la menace est de combiner les différentes composantes en une seule attaque.

Les RSSI doivent connaître le modus operandi des cybercriminels 

Selon Keith Brogan, les attaques simples et bon marché présentent peu de risque pour les entreprises et ne devraient pas trop inquiéter les équipes IT. « Si vos opérations de sécurité fonctionnent bien, la majorité des attaques dont le coût ne dépasse pas 100 dollars sera stoppée par de bonnes pratiques et par des contrôles de sécurité de base. Mais ces mêmes équipes IT peuvent aussi se demander si d’autres menaces plus avancées présenteraient un risque pour l’entreprise. Par exemple, savoir quels cybercriminels pourraient cibler l’entreprise, quelles données pourraient les intéresser, savoir comment ces acteurs ont utilisé les facilitateurs pour lancer des attaques par le passé et ce qu’ils pourraient faire demain ».

Selon le responsable des services de gestion des menaces chez Deloitte Cyber Risk Services, il est aussi important d’en savoir le plus possible sur les fournisseurs de services criminels que de connaître les acteurs qui s’en servent pour cibler votre réseau. « Les gens négligent cet aspect de la menace et, souvent, ils ne font pas le lien entre ces petites opérations et la menace qu'elles représentent pour eux. Parce qu'ils n'ont pas compris que ces outils sont utilisés par des cybercriminels pour les attaquer », a-t-il encore déclaré. « Si j'étais chef de la sécurité (CSO), je demanderais à mon équipe de se concentrer sur chacun de ces services facilitateurs. Je voudrais tout savoir sur les principaux hébergeurs, les proxies, les services de redirection de trafic, comment fonctionnent les contrôleurs de compte et tous les services de DDoS existant », a encore déclaré Keith Brogan. « Ensuite, je comparerais tout cela à mes systèmes de défense - comprendre l'écosystème, comment fonctionnent ces services facilitateurs, et organiser ses défenses et ses outils de visibilité pour contrer les attaques ».

Même s’il est difficile d’avoir un impact sur le coût des attaques menées par les cybercriminels, il est possible de faire en sorte que l’entreprise ne soit pas une proie trop facile à cibler par des attaquants de base. Par exemple, l’entreprise pourrait s’assurer du bon fonctionnement des vérificateurs de comptes, qui entrent automatiquement les identifiants dans les systèmes de connexion, puis de trouver des solutions pour bloquer ou réduire l’efficacité des attaques. « Le temps, c'est de l'argent, et si le cybercriminel doit passer plus de temps à exécuter sa menace, cela revient à augmenter ses coûts », a déclaré M. Brogan.

Oliver Rochford, le directeur de la recherche de Tenable, affirme que l'augmentation du coût pour les criminels réduit inévitablement leur retour sur investissement. Donc, dans un « environnement où les cibles ne manquent pas », le pirate choisira celles qui lui demanderont le moins de temps. Même s’il pense qu'une action plus déterminée des autorités réglementaires et judiciaires pourrait utilement réduire la taille du marché de la cybercriminalité, en particulier à l’échelon inférieur, les chefs de la sécurité ont tout intérêt à adopter de bonnes stratégies en matière de sécurité, en appliquant notamment les correctifs quand ils sont disponibles et en supprimant les produits et les applications en fin de vie. L’organisation de chasses aux bugs peut aussi décourager certains pirates d’agir illégalement s’ils peuvent exercer légalement leur activité et contribuer à renforcer les systèmes. « Ce n’est rien de plus qu’une gestion intelligente du cycle de vie. Éliminer toutes les vulnérabilités d'escalade de privilèges. Les attaques exploitent toujours les failles d'anciens produits ou de produits en fin de vie. Ce sont des sources de profits pour les pirates. Alors, assurez-vous que des produits comme Flash et Internet Explorer ont été supprimés de vos terminaux. Si vous ne pouvez pas vous en passer, assurez-vous qu'ils ne sont pas connectés à Internet. Suivez également les conseils des vendeurs en ce qui concerne l’application des correctifs et la mise à la retraite des produits obsolètes ».