kirk.roundhouse a écrit :
Ce n'est pas de la théorie, ce sont des stats.
Et si aujourd'hui je travaille essentiellement pour des grands comptes, j'ai travaillé plus de 10 ans dans des MSSP SOC, 5 ans dans le penstest, et pour des structures diverses, avant d'aller vers la gestion du risque.

Si tu es un vieux de l'infosec, tu sais donc que l'industrie aime se toucher avec des concepts marketing moisis, tels que l'APT. Les APT, ça existe depuis toujours.
Et ça n'a rien de rare. Tous les jours, il y a des APT. C'est juste qu'on en entend pas parler. La différence c'est qu'aujourd'hui, la communauté et l'industrie sont assez matures et grandes pour les détecter/analyser à la marge.
Un APT aujourd'hui, on le traduit par : attaque sponsorisée par un état.

Ca rend légèrement caduque ton classement car tu sais que des APT qui utilisent comme point d'entrée le phishing/spear phishing, il y en a eu pas mal par le passé :

kirk.roundhouse a écrit :
La très grosse majorité des cas, oui. C'est le premier vecteur de compromission (qui exploite ensuite une faille du PC).
Le second, c'est le surf sur internet, en exploitant une faille du browser internet, ou un applicatif téléchargé un peu n'importe où.
De façon plus rare, par des failles exposées et/ou non patchées sur des équipements visibles sur le net.
Et encore plus rare, l'APT. Comme par exemple l'affaire Solarwinds.

En plus, tu compares des Skittles avec des M&Ms.
Tout dépend de la taille de la cible, de sa surface d'attaque et surtout de son niveau de maturité.
Mais si tu as une source d'un quelconque CERT qui va dans ton sens, je suis preneur. C'est une stat très compliquée, voire impossible, à avoir en fait.

Par expérience, ce sont plutôt les problèmes de conf et des manque de mises à jour des composants techniques qui sont la cause première.
Il y a une règle simple en sécurité offensive : le ratio gain/investissement.
On pénètre pas de la même façon une banque et le site de la mairie de Roswell-sur-Gougnon.
Pour de grosses boîtes telles que les banques ou les opérateurs, le périmètre externe est souvent très bien protégé (sur certains périmètres précis, c'est même imprenable techniquement).
Attaquer techniquement en externe sur ce genre de cible, le ratio est très mauvais. Par contre, il devient très bon si tu utilises du phishing, couplé à de l'ingénierie sociale. Quand une boîte a 10 000 employés dans le monde, ta campagne de phishing a de bonnes chances de réussir (retour d'expérience : moyenne de 20-30% de réussite sur ce genre d'attaque, tout secteur confondu).

Par rapport aux TI et leur utilité, je te rejoins partiellement. En effet, c'est jamais la vraie vie. Mais pas pour les raisons que tu cites.
Un pentester n'a pas forcément tous les éléments, ça dépend de la demande du client et du scénario d'attaque (blackbox/greybox/whitebox). L'auditeur peut aussi avoir beaucoup de temps en mode Redteam.
Le problème est plus lié au périmètre. On doit définir le périmètre dans la prestation, ça limite donc. Un vrai attaquant, son périmètre, c'est l'Internet.

Concernant le travail à distance, ça impacte forcément. Encore une fois, dans une boîte mature, les postes de travail pro vont être masterisés donc avec un minimum de sécu (au passage, les antivirus, ça sert quasiment à rien).
Mais pour CDPR, peut-être qu'ils utilisent des postes perso, non corporate, avec une politique de mots de passe bien cracra. On en sait rien, à moins que tu ais leur PSSI sous le coude ;)

Ici, on a encore aucune info publique fiable pour l'instant. Si ça se trouve, l'intrusion est 100% technique. Aucune certitude. On verra s'ils donnent plus d'infos par la suite.
Quoiqu'il en soit, ça reste bien crade pour CDPR, quel que soit le contexte. Tout le monde est impacté, la direction comme les petites mains qui crunshent depuis des années...

Swoosh a écrit :
Moui, alors le site qui prend pour référence le dictionnaire de l'Académie Française dans son argumentaire, c'est franchement bête. Ce dictionnaire ne reconnaît pas grand-chose et ne sert pas à grand-chose non plus.

Si un type me dit qu'il travaille dans le digital et qu'il fait du cryptage je quitte la pièce en lui lançant un Bescherelle à la gueule.
S'il est d'Accenture je me jette par une fenêtre directement.

Burps a écrit :
Si tu es un vieux de l'infosec, tu sais donc que l'industrie aime se toucher avec des concepts marketing moisis, tels que l'APT. Les APT, ça existe depuis toujours.
Et ça n'a rien de rare. Tous les jours, il y a des APT. C'est juste qu'on en entend pas parler. La différence c'est qu'aujourd'hui, la communauté et l'industrie sont assez matures et grandes pour les détecter/analyser à la marge.

Oui.

Burps a écrit :
Un APT aujourd'hui, on le traduit par : attaque sponsorisée par un état.

Non.

Burps
En plus, tu compares des Skittles avec des M&Ms.
Tout dépend de la taille de la cible, de sa surface d'attaque et surtout de son niveau de maturité.
Mais si tu as une source d'un quelconque CERT qui va dans ton sens, je suis preneur. C'est une stat très compliquée, voire impossible, à avoir en fait.

C'est très facile à obtenir.
Gartner, les agences nationales de sécurité, les ESN Cybersécu, tous publient les rapports et les stats annuels.

Burps
Par expérience, ce sont plutôt les problèmes de conf et des manque de mises à jour des composants techniques qui sont la cause première.

Non.

Burps
Mais pour CDPR, peut-être qu'ils utilisent des postes perso, non corporate, avec une politique de mots de passe bien cracra. On en sait rien, à moins que tu ais leur PSSI sous le coude ;)

Règlementations Européennes sur la protection des données et le régulateur national polonais Cybersécu (le NASK) auquel CDPR est soumise.

Burps, autre chose a ajouter ? ;)
moi c'est


Non.

Congrats kirk, tu as réussi le tour de force d'être encore plus péremptoire que moi. C'est par expérience, pas facile. Sur ce je lache l'affaire, t'as ton expérience et opinion, mais visiblement elle diffère pas mal d'autres personnes du même milieu.

C'est juste que quand on me dit qu'un APT est une attaque sponsorisée par un Etat ... C'est qu'on y connait pas grand chose hors de ce qui est dit dans la presse généraliste.
Donc je ne me prends pas trop la tête à répondre. Ni à lire en détail.
Contrairement à toi qui a une opinion plus éclairée (mais incorrecte).

Pour avoir croisé des gens du milieu ça rejoint l'avis de kirk. Et btw le plus gros concurrent à la sécu ce sont les assurances. Cela coûte moins cher. J'dis ça mais ça a peut-être évolué et maintenant les décideurs pensent autrement (lol).

Ils devaient être contents tes clients, de lire tes rapports de pentest...
Niveau de sécurité : Oui. Executive summary : Non.

Obtenir DES stats, oui c'est très facile. Obtenir LES stats dont tu parles (classement douteux où tu confonds notamment probabilité d'attaque et typologie d'attaque), je crois que c'est plus compliqué.
Tu aurais un lien précis à partager qui fait plus de 3 lettres ?

Je crains que ton expérience s'est faite dans une bulle assez loin du terrain.
Pour avoir écrémé de très nombreuses boîtes (CAC40, PME/PMI dans secteur public/privé, banque/assurance/industrie/grande distribution/santé/aéronautique/défense...), mon expérience me dit le contraire bizarrement.

Et tu sais très bien que même s'il y a des règlementations, c'est pas pour autant qu'elles sont suivies. Sinon on serait au chômage ;)

Si tu me réponds à nouveau, évite de le faire aux toilettes après ingestion d'un vilain chili con carné, j'aurai plus de syllabes à lire.

BeatKitano a écrit :
Burps, autre chose a ajouter ? ;)

Kamoulox ;-) ?

Tu bosses chez qui Beat ? Indépendant peut-être ?

Edit :

kirk.roundhouse a écrit :
C'est juste que quand on me dit qu'un APT est une attaque sponsorisée par un Etat ... C'est qu'on y connait pas grand chose hors de ce qui est dit dans la presse généraliste.

Mauvaise pioche très cher... Je suis pentester depuis plus de 15 ans (dont 10 ans en indépendant).
Expérience faite pas qu'en lisant des stats, mais surtout en allant décompiler/reverser/exploiter/chercher des vulns dans les applis/systèmes/réseaux (et éventuellement malwares). Champs de compétence qui est tout aussi rare qu'un APT d'après toi ;-)