Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Etude Venafi : Une gestion exhaustive des clés SSH fait défaut dans 81 % des enseignes du commerce et de la distribution

février 2018 par Venafi

Venafi rend publics les résultats d’une étude consacrée aux modalités de gestion et de mise en œuvre du protocole SSH (Secure Shell) par les enseignes du commerce et de la distribution. Plus d’une centaine de professionnels de l’informatique travaillant dans ce secteur ont participé à cette étude qui met en exergue l’absence généralisée de contrôles de sécurité SSH.

D’après l’étude de Venafi, même si les clés SSH assurent les plus hauts niveaux d’accès à des fins d’administration, elles ne font, en règle générale, l’objet d’aucun suivi ni d’aucune gestion et demeurent mal sécurisées. Ainsi, 81 % des participants admettent ne pas disposer d’un inventaire complet et précis de l’ensemble des clés SSH. Or, si les acteurs du commerce et de la distribution ne savent ni localiser leurs clés SSH ni les gérer, ils sont bien en peine de déterminer si certaines ont été volées ou détournées ou si leur fiabilité est remise en cause.

« Les enseignes du commerce et de la distribution ont recours à toute une panoplie de machines connectées, boudées dans la plupart des autres secteurs », indique Nick Hunter, chercheur senior en confiance et fiabilité digitale chez Venafi. « Ces machines stockent de lucratives informations financières qui font de ces acteurs, et de leurs transactions, des cibles de choix pour les cybercriminels. En résumé, les distributeurs font l’objet de menaces inédites et significatives s’agissant des identités machines. Pour protéger leurs clients et leurs données stratégiques, il leur faut un solide programme de gouvernance SSH qui leur assure une visibilité très complète sur la totalité de leurs clés SSH. »

Voici les principales conclusions de cette étude :
• Plus du tiers (35 %) des professionnels interrogés admettent ne pas effectuer de rotation régulière de clés, même après le départ des administrateurs. En raison de cette négligence, d’anciens collaborateurs risquent de conserver un accès privilégié à leurs systèmes stratégiques.
• Seulement 35 % des participants opèrent une rotation des clés SSH au moins une fois par trimestre ; ils sont 37 % à avouer ne jamais effectuer de rotation, ou bien uniquement de manière occasionnelle. Les pirates qui réussissent à accéder à ces clés SSH conserveront un accès privilégié à celles-ci jusqu’à ce qu’une rotation soit opérée.
• 38 % des professionnels interrogés ne limitent pas le nombre d’administrateurs SSH, permettant ainsi à une infinité d’utilisateurs de générer des clés SSH sur quantité de systèmes. En raison de cet accès non contrôlé aux ressources, les enseignes du commerce et de la distribution n’ont aucune visibilité sur les clés SSH et ne disposent d’aucune information sur les relations de confiance instaurées par elles.
• 32 % des participants affirment ne pas appliquer de « transfert de port » pour le protocole SSH. Étant donné que le transfert de port permet aux utilisateurs de contourner chaque pare-feu entre systèmes, un cybercriminel disposant d’un accès SSH peut passer très vite d’un segment de réseau à l’autre.
• 35 % des professionnels interrogés précisent que les droits SSH ne sont pas rattachés à leur gestion des accès privilégiés et sont rarement contrôlés. Faute de contrôle minutieux et de règles de sécurité SSH efficaces, les déficiences des clés SSH risquent de passer inaperçues, exposant ainsi les enseignes à un large éventail d’attaques de cybersécurité.


A propos de l’étude :
Cette étude a été menée par Dimensional Research en novembre 2017. Elle a analysé les réponses de 101 professionnels de l’informatique et de la sécurité dans le secteur du commerce de détail, basés aux États-Unis, au Royaume-Uni et en Allemagne, et justifiant d’une connaissance approfondie du protocole SSH.




Voir les articles précédents

    

Voir les articles suivants