Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

BeyondTrust fournit les statistiques de vulnérabilités du Verizon Data Breach Investigations Report 2019 :

mai 2019 par Patrick LEBRETON

29% des violations de données en 2018 ont été réalisées en utilisant des identifiants volés ! Les résultats indiquent une augmentation continue des menaces venant de l’intérieur et ciblant les données.

BeyondTrust, leader de la gestion des accès privilégiés, annonce le lancement du 2019 Verizon Data Breach Investigations Report (DBIR), lequel exploite les statistiques de vulnérabilités fournies par BeyondTrust. Les données ont été fournies pour aider à classer les menaces constatées. Ces données ont été regroupées par secteur d’activité, plateforme, ancienneté et type de vulnérabilité, et ont été répertoriées à partir de la solution cloud de gestion des vulnérabilités BeyondSaaS de BeyondTrust, basée sur la technologie d’évaluation des vulnérabilités de BeyondTrust et hébergée dans Microsoft Azure.

Les principales conclusions du rapport sont les suivantes :

- Près d’un tiers (29%) des violations de données en 2018 ont été réalisées en utilisant des identifiants volés. Ces identifiants garantissent les niveaux d’accès requis par les attaquants. Dans la plupart des grandes organisations, les identifiants sont partagés entre les employés et pour plusieurs systèmes. Cela signifie qu’un seul identifiant volé peut potentiellement être exploité pour permettre à l’attaquant de se déplacer latéralement sur le réseau et de rechercher les informations qu’il souhaite.

- L’abus de privilège est la principale utilisation abusive des violations, et il s’agit également du sixième vecteur de menace en matière de violation de données. Le rapport définit l’utilisation abusive comme « l’utilisation malveillante ou inappropriée de privilèges existants ». Il s’agit en réalité d’un abus de privilège par les personnes qui exploitent de manière intentionnelle ou intentionnelle leur accès privilégié de manière à créer une faille et un incident de sécurité.

- Bien qu’aucun secteur ne soit à l’abri des cyberattaques, les organisations du secteur public (16% des failles), les établissements de santé (15% des failles) et le secteur financier (10% des failles) ont été les plus touchés. Le rapport montre que les différents secteurs sont confrontés à différents types d’attaques. Par exemple, le secteur de l’éducation était trois fois plus exposé aux attaques de phishing par rapport au secteur de la vente au détail. Il y a cependant quelques points communs. Par exemple, les identifiants font partie des trois types de données compromises les plus courants tous secteurs confondus.

Les cinq principales recommandations de BeyondTrust que les entreprises peuvent prendre immédiatement pour renforcer leur sécurité sont les suivantes :

- Déployer dès que possible les correctifs des vulnérabilités connues afin d’atténuer la surface d’attaque de tiers qui chercheraient à obtenir les identifiants des insiders pour ensuite se déplacer latéralement dans l’ensemble de l’organisation.

- Déployer une solution de gestion des mots de passe qui détecte chaque compte sur l’environnement, stocke et gère de manière sécurisée les identifiants, requiert un processus d’approbation pour le check-out, contrôle les activités et effectue une rotation des identifiants lors du check-in. Choisir une solution proposant un workflow d’approbation pour obtenir les droits. Si les demandes arrivent pendant les heures ouvrées et selon des paramètres acceptables, définir des règles d’auto-approbation pour permettre l’accès sans limiter la productivité de l’administrateur. Toutefois, si les paramètres d’heure, de jour ou d’emplacement ne respectent pas le cadre, des workflows sécurisés peuvent garantir l’accès approprié.

- Segmenter le réseau ou implémenter une enclave sécurisée pour s’assurer que tous les comptes privilégiés (employés, sous-traitants et tiers) ne disposent pas d’un accès direct pour gérer les périphériques. Ce modèle garantit que seuls les périphériques approuvés et les chemins réseau restreints peuvent être utilisés pour communiquer avec des ressources sensibles.

- Appliquer le principe du moindre privilège sur l’ensemble de l’environnement en supprimant les droits admin locaux des utilisateurs et en limitant l’utilisation des privilèges des comptes admin et racine aux serveurs du data center. L’élévation des droits par applications sur la base d’exceptions et l’utilisation de contrôles de politique granulaires une fois que l’accès est accordé peuvent limiter davantage le mouvement latéral des attaquants potentiels.

- Mettre en place l’authentification multi-facteurs. Celle-ci limite considérablement le risque d’intrusions réalisées grâce à des identifiants faibles, volées ou par défaut. Les attaquants ont besoin d’identifiants pour se déplacer latéralement et l’authentification multifactorielle rend ce mouvement plus difficile. Chaque utilisateur et chaque compte devraient en être équipés.




Voir les articles précédents

    

Voir les articles suivants