Alexey Polyakov, responsable de l’équipe GERT de Kaspersky Lab, commente : « Par le passé, notre équipe de support aux entreprises a reçu des plaintes sans rapport avec les fonctionnalités de nos produits. Par exemple, certains clients se sont plaints que nos produits ne parvenaient pas éliminer tous les virus d’un réseau. Après une rapide analyse, nous avons découvert que les produits détectaient et éliminaient bien les programmes malveillants, mais que ces derniers ne cessaient de revenir, encore et toujours. C’est ainsi qu’au cours des 12 derniers mois, en nous mobilisant aux côtés de notre clientèle d’entreprises, nous avons observé que la majorité des incidents liés à des virus se produisent en raison d’une sous-estimation des problèmes de conception ou bien de faiblesses passées inaperçues dans la politique de sécurité des entreprises. »

Ce qui peut rendre un réseau d’entreprise vulnérable

La principale erreur consiste à méconnaître les droits d’accès pour le partage réseau, responsables de 35% des incidents. Il peut s’agir d’un partage ouvert avec des droits configurés en « accès complet » pour tous sur un serveur de fichiers interne ou sur le poste de travail d’un utilisateur, par exemple pour un espace public partagé où tous les documents sont stockés. Tôt ou tard, cela peut constituer une importante source de propagation de malwares dans toute l’entreprise.

Les malwares modernes tirent parti des vulnérabilités existantes. Un réseau dépourvu ne serait-ce que d’un seul correctif de sécurité peut se trouver gravement en danger. Ce problème est, du reste, le plus fréquent au sein des PME comptant moins de 500 utilisateurs, car ces entreprises ne disposent pas des compétences suffisantes, voire ignorent purement et simplement l’installation des correctifs. Cette erreur est à l’origine de 25% des incidents.

L’utilisation de plusieurs solutions antimalwares hétérogènes (15% des incidents) peut conduire à une situation dans laquelle il devient difficile de neutraliser les attaques, notamment si l’une des solutions ne fait pas preuve de suffisamment de réactivité, les retards pouvant parfois se chiffrer en jours, en semaines ou même en mois. Durant cet intervalle, la solution issue d’un autre éditeur peut certes détecter et éliminer le malware en question, mais uniquement sur la partie du réseau qu’elle surveille, le reste n’étant pas à l’abri des attaques. Alexey Polyakov conclut : « Selon notre expérience, les administrateurs de sécurité passent beaucoup de temps à essayer de diagnostiquer et résoudre un problème en compagnie des services de support de divers éditeurs. »

Un environnement partiellement protégé (15% des incidents) correspond à l’installation d’une solution antimalware sur une partie du réseau, laissant les autres ressources sans défense.

La vulnérabilité des firmwares (5% des incidents) peut être exploitée par des attaquants si les administrateurs de sécurité négligent de vérifier si des correctifs sont nécessaires sur les équipements tels que les routeurs, pare-feu et autres appliances réseau.

Enfin, une autre erreur relativement peu fréquente (5% des incidents tout de même) consiste à croire que les logiciels téléchargés sur le Web sont toujours parfaitement sains.