Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Cybersécurité : les vecteurs de menaces les plus proches sont souvent les plus couramment négligés

novembre 2016 par Dr Wieland Alge, vice-président et directeur général EMEA chez Barracuda Networks

Les cyber-attaques sont en plein essor. Les pirates semblent avoir un arsenal d’outils - en constante expansion - sous la main, qui peuvent compromettre les systèmes. Les entreprises investissent beaucoup pour contrer ces menaces : derniers équipements de sécurité, nouvelles technologies de détection et de prévention, ou encore formation des employés. Les recherches d’IDC suggèrent que les entreprises vont continuer d’augmenter ces investissements, pour atteindre, selon les prévisions, un montant total de 101,6 milliards de dollars dans la cybersécurité en 2020 - soit une augmentation de 38 % par rapport aux chiffres de 2016.

Mais si les entreprises augmentent leurs investissements dans la cybersécurité, pourquoi les statistiques d’intrusion augmentent-elles également ? L’augmentation de l’investissement est une bonne chose, mais il faut cibler les dépenses aux bons endroits. Tout comme les pirates diversifient leurs tactiques d’attaque et cherchent des vulnérabilités à différents endroits, les entreprises doivent diversifier leur protection et protéger les vecteurs de menaces couramment négligés. Ces vecteurs ne sont pas inconnus des entreprises, mais ils ne reçoivent pas actuellement la même attention que les domaines classiques de la sécurité.

Ces vecteurs de menaces, rendant le système extrêmement vulnérable, se cachent à proximité des équipes IT.

Applications Web

Les attaques avancées exploitent plusieurs vecteurs, notamment le comportement des utilisateurs, les systèmes et les applications. La présence d’un pare-feu sur le périmètre du réseau ne suffit plus. Une position de sécurité complète doit englober tous ces vecteurs. Parmi eux, les applications Web représentent un énorme angle d’attaque.

Selon le rapport 2016 Verizon Data Breach Investigations Report (DBIR), 82 % des intrusions dans le secteur des services financiers étaient dûes à des attaques visant des applications Web. Cette statistique se portait à 57 % pour le secteur des informations et à 50 % pour le secteur du divertissement. Les plus grandes entreprises ont des milliers d’applications Web, et des vulnérabilités existent au niveau des bases de données et de l’interface utilisateur. À moins que les organisations ne commencent à se concentrer sur la sécurité des applications, ce nombre va inéluctablement être revu à la hausse.

Pour sécuriser les applications Web, il faut mettre en place un pare-feu applicatif, s’assurer que les applications Web n’aient pas d’accès direct aux bases de données - et que les bases de données auxquelles elles ont accès ne contiennent que les informations réellement nécessaires. Les applications les plus critiques doivent être régulièrement évaluées afin d’éviter une fuite des données les plus préjudiciables.

Éléments hybrides

Dans la plupart des entreprises, au moins une partie des composants réseau migrent hors des datacenters physiques traditionnels vers les environnements Cloud. Malheureusement, les entreprises pensent souvent que le fournisseur du service Cloud s’occupe de la sécurité de ces éléments. En réalité, il s’agit d’un modèle de responsabilité partagée : le fournisseur Cloud gère la sécurité de l’infrastructure, mais le client est responsable de la sécurité de ce qu’il exécute dans cet environnement.

Un fournisseur Cloud, par exemple, n’a aucun moyen de savoir qu’une charge de travail subit une fuite de données : il ne contrôle pas l’application. De même, une attaque de type zero day - ciblant une application - peut n’avoir aucune indication externe signalant qu’elle est malveillante. Les entreprises doivent donc apporter leur propre sécurité à ces éléments hybrides.

En cas de migration d’une application Web vers le Cloud public ou d’utilisation d’une application SaaS, comme Office 365, il est impératif que la sécurité et les contrôles d’accès dans le Cloud soient les mêmes que ceux mis en place pour l’infrastructure sur site. Le chiffrement des données doit donc être de même niveau, une gouvernance doit être mise en place pour assurer l’accès aux données et des pare-feux doivent être stratégiquement placés pour protéger le trafic du réseau et les applications Cloud.

Télétravailleurs

Dans la plupart des organisations au moins une partie du personnel travaille en permanence en dehors des locaux, ou depuis différentes filiales. Les employés utilisent également des terminaux mobiles qui, dans la plupart des cas, n’appartiennent pas à l’entreprise. Les travailleurs mobiles et les télétravailleurs sont souvent moins bien protégés que les collaborateurs qui se trouvent à l’intérieur du périmètre de l’entreprise - simplement parce que les entreprises négligent cet angle d’attaque. Les pirates actuels essaieront d’exploiter les « réseaux humains » autant que les réseaux informatiques, et il est plus difficile de contrôler les employés travaillant en dehors des limites physiques du réseau. Tous les utilisateurs doivent être protégés contre les attaques de type hameçonnage, harponnage, typosquatting ou encore ingénierie sociale.

Les réseaux dispersés exigent une infrastructure de pare-feu plus avancée. Chaque filiale présente plusieurs angles d’attaque, par exemple entre l’utilisateur et le service, ou entre l’utilisateur et le Cloud. Un pare-feu à chaque emplacement peut sécuriser ces angles d’attaque et améliorer la productivité des utilisateurs. Une bonne sécurité humaine nécessite donc de combiner la mise en application, le suivi et la formation des utilisateurs, et doit englober tous les employés, où qu’ils se trouvent.

Menaces latentes

Quand on pense aux menaces provenant des e-mails, on imagine souvent les courriers indésirables et l’hameçonnage, ou encore une pièce jointe véhiculant un ransomware. La plupart de ces dangers sont généralement détectés lorsqu’ils arrivent dans la boîte de réception. Bien que ces attaques représentent de toute évidence des préoccupations légitimes, les menaces latentes présentes dans les boîtes de réception de l’entreprise sont également très réelles et peuvent se révéler très dangereuses.

Une menace latente est une menace introduite dans le système de messagerie électronique à partir d’une source externe ou interne, et qui se cache jusqu’à ce qu’elle puisse entrer en action. Elle peut attendre une date en particulier pour s’activer, ou collecter silencieusement des renseignements. Les menaces latentes sont également appelées APT, et il existe de nombreux exemples de leurs dégâts. Le piratage de Sony Pictures en 2014 est un exemple parfait de l’exécution d’un APT aux conséquences désastreuses. Les pirates ont surveillé le réseau de la victime pendant un long moment et ont pu planifier soigneusement le moment et l’emplacement de leur frappe. C’est pourquoi des scans réguliers doivent être organisés afin de nettoyer toutes les menaces existantes et présentes sur le réseau.

Chaîne logistique

La presse a beaucoup parlé de la hausse d’incidents attribués à des partenaires commerciaux. Le nombre de tierces parties, tout au long de la chaîne d’approvisionnement d’une organisation, est désormais l’un des plus grands risques posés à la sécurité.

La plupart des entreprises ont quelques contrôles en place pour sécuriser leur chaîne d’approvisionnement mais, le plus souvent, certains fournisseurs passent au travers des mailles du filet. L’explication est simple : les personnes responsables du programme de sécurité considèrent que le temps et le travail nécessaires pour vérifier la sécurité de toutes les PME partenaires dépassent considérablement les risques qu’elles présentent. En réalité, les pirates recherchent désormais les maillons les plus faibles de la chaîne.

Afin de limiter les risques, l’entreprise peut établir un diagramme de gestion de la sécurité informatique, basé sur le risque, dans le programme de gestion des fournisseurs. Chaque employé doit être formé aux risques de piratage, et les partenaires doivent, eux, avoir uniquement accès aux données et aux systèmes principaux nécessaires aux échanges.
Plutôt que d’opter pour des politiques sur papier et des audits, une autre approche peut être le financement de la sécurité des fournisseurs et le contrôle de l’interface à la source.

Les cinq vecteurs d’attaque couramment ciblés sont les e-mails, le périmètre réseau, les terminaux, les applications Web et les utilisateurs distants. Chaque vecteur nécessite une protection spécialisée et il est donc important d’avoir les bons outils, le bon personnel et les bons processus en place pour couvrir toutes les menaces. Face à tant de travail, il est tentant d’adopter une technologie dans la hâte. Adopter des solutions de sécurité disparates de divers vendeurs entraîne le coût et la complexité d’avoir à gérer plusieurs interfaces d’administration, un suivi discontinu et plusieurs processus d’assistance. Cette complexité peut, en fin de compte, générer plus de failles dans la sécurité. Au contraire, des solutions faciles à utiliser, des interfaces utilisateur cohérentes, une gestion et un suivi centralisés aideront les organisations à réduire les frais généraux, à assurer une sécurité exhaustive et à libérer du temps pour vérifier la sécurité et ces problèmes souvent négligés qui pourraient bien se cacher sous leurs yeux.


Voir les articles précédents

    

Voir les articles suivants