Nicolas vermeys m’a adressé la semaine passée une récente étude de Verizon s’intitulant « 2008 Data Breach Investigation Report : 4 Years of Forensic Research. More than 500 cases. One Comprehensive Report » (pdf) (Juin 2008). Ce document de 29 pages va à l’encontre de plusieurs idées reçues et un certain nombre d’entre elles sont assez intéressantes :

« 

  • 75% des « bris de sécurité » (désolé pour l’angliscisme) sont découverts par d’autres personnes que les victimes ;
  • 83% des attaques ne sont pas d’une grande ampleur ;
  • 62% sont consécutives d’un manquement significatif dans le processus de sécurité ;
  • 73% des bris de sécurité proviennent de l’extérieur. »

Et c’est de cette dernière statistique dont je voudrais dire 2 mots. Car elle va à l’encontre de ce qui se dit - se mesure - depuis bien longtemps déjà. En effet, il est généralement consacré que les problèmes de sécurité proviennent d’acteurs qui sont à proximité de la victime. Je ne pense pas que cette étude remette en question cette position, et ce, pour deux raisons :

D’abord, et Bruce Schneier n’a pas manqué de le souligner hier, les attaques de l’intérieur sont beaucoup plus dommageables que celles de l’extérieur, ce qui est assez logique.

« The whole insiders vs. outsiders debate has always been one of semantics more than anything else. If you count by attacks, there are a lot more outsider attacks, simply because there are orders of magnitude more outsider attackers. If you count incidents, the numbers tend to get closer : 75% vs. 18% in this case. And if you count damages, insiders generally come out on top — mostly because they have a lot more detailed information and can target their attacks better. ».

D’ailleurs, page 11, l’étude de Verizon montre bien que les risques internes sont susceptibles de compromettre un bien plus gros montants de fichiers.

Ensuite, une distinction est faite entre « personnes externes » et « partenaires ». Une sorte de catégorie intermédiaire qui forcément a une incidence dans la dichotomie interne versus externe selon que l’on tient compte de cette troisième voie.

Et selon la figure ci-dessus, si l’on calcule en terme de fichiers compromis, ceux qui l’ont été de l’extérieur représente un peu moins de 5%.

Bien sûr la dichotomie a ses limites et les deux aspects doivent être considérés, comme on peut le lire en conclusion du billet de Schneier :

« Both insiders and outsiders are security risks, and you have to defend against them both. Trying to rank them isn’t all that useful »

Néanmoins, il importe de savoir d’où vient le risque.