188 jours pour découvrir une intrusion… contre 134 jours en 2014 et 210 jours en 2012. Détecter une intrusion réclame toujours plus de temps, a calculé Trutswave.
81% des victimes n’ont pas détecté l’incident d’elles-mêmes. Dans 58%, la détection est venue par un régulateur, une banque ou la marque de carte bancaire, contre 7% d’un tiers et 4% des consommateurs. Les forces de l’ordre font bien leur boulot : elles ont signalé 12% des incidents de cybercriminalité en 2014, contre 3% seulement en 2013.
Les victimes d’attaques -secourues par Trustwave l’an passé- présentent un visage peu flatteur. Un tiers des attaques ont exploité avec succès des vulnérabilités Flash et 29 % des vulnérabilités d’Internet Explorer.
Pis ! 98% des applications testées par Trustwave l’an passé étaient vulnérables, avec une moyenne de 20 vulnérabilités chacune -contre 6 en 2013. Guère mieux du côté des apps mobiles vulnérables à 95% avec une moyenne de 6,5 vulnérabilités par application.
Au final, les deux premiers facteurs ayant contribué à la compromission étaient une sécurité faible des accès distant (28%) et des mots de passe peu robustes (28%). Viennent ensuite les vulnérabilités non corrigées (15 %) et les saisies de formulaires non contrôlées (15 %) ou encore le défaut de configuration (8%) et, enfin, la malveillance interne (6%).