Selon les résultats de l’enquête, 85 000 occurrences des 100 vulnérabilités les plus courantes ont été retrouvées sur les réseaux entreprise. D’après les normes de la National Vulnerability Database*, environ 7 % d’entre elles sont extrêmement critiques. Et parmi ces vulnérabilités graves, la moitié serait exploitable par les cyber criminels qui auraient pu prendre le contrôle, à distance, des appareils concernés. Pourtant, ces failles - dans leur grande majorité - peuvent être corrigées via l’installation de patchs ou par de simples modifications des paramètres administrateur.

« Si un cyber criminel découvre l’une de ces vulnérabilités, le cauchemar commence pour l’entreprise », souligne Jarno Niemelä, Lead Researcher au sein du Laboratoire F-Secure. « Nous avons détecté des milliers de cas particulièrement inquiétants. De nombreuses entreprises présentent de sérieuses lacunes en matière de sécurité : soit elles oublient les programmes de patch management, soit elles négligent des pans entiers de leur réseau. Dans un cas comme dans l’autre, c’est la porte ouverte aux cyber attaques et aux vols de données. »

Ces résultats viennent prouver, une fois de plus, que des mesures de sécurité, aussi simples soient-elles, sont indispensables. Selon l’US-CERT (United States Computer Emergency Readiness Team), le respect de quelques règles simples, comme l’application de correctifs sur les logiciels vulnérables, peut empêcher jusqu’à 85 % des cyber attaques ciblées.**

Ne pas corriger une vulnérabilité, c’est tendre le bâton pour se faire battre

L’enquête a révélé des milliers de failles particulièrement critiques mais les mauvaises configurations système sont encore bien plus fréquentes. Par ailleurs, les 10 vulnérabilités les plus fréquentes (61% des failles détectées) constituent un risque faible ou moyen. Elles ont beau ne pas être graves en soi, elles incitent les pirates à creuser davantage, à rechercher d’autres points faibles.

« Ces failles ne représentent pas une urgence à proprement parler mais ne pas les corriger revient à tendre le bâton pour se faire battre », indique Andy Patel, Senior Manager, Technology Outreach chez F-Secure. « Il existe mille-et-une manières de découvrir ces vulnérabilités ; par exemple, simplement en naviguant sur Internet. En les repérant, même les hackers ne cherchant pas à nuire pourraient être tentés de tirer la ficelle pour voir ce qui se passe. Les entreprises les plus chanceuses recevront peut-être un e-mail leur signalant le problème, mais pour les autres, le risque est grand : elles feront l’objet d’opérations de reconnaissance, en vue d’attaques ciblées. »

Contrôle des réseaux et mesures de prévention face aux vulnérabilités.

F-Secure Radar, solution d’analyse des vulnérabilités, est certifiée ASV (Approved Scanning Vendor) et PCI (Payment Card Industry). Elle donne aux entreprises une vue d’ensemble de leurs réseaux et dévoile les failles utilisables par les cyber criminels. Grâce à différents outils de balayage, elle offre une analyse compréhensive des réseaux et classe les vulnérabilités selon leur gravité. Les entreprises peuvent utiliser ces scans pour mapper les différents systèmes intégrés au réseau, vérifier les applications Web (y compris les API personnalisées) et, enfin, identifier les parties du réseau obsolètes, non protégées ou mal configurées.

D’après Rune Kristensen, Responsable du Produit Radar chez F-Secure, cette solution offre aux entreprises les outils d’une stratégie globale en matière de sécurité informatique. « Pour protéger ses réseaux, il est important d’en avoir une vue d’ensemble. Nous envisageons d’améliorer les fonctionnalités de Radar afin d’offrir à l’avenir un contrôle encore meilleur aux entreprises. Par exemple, nombreuses sont les sociétés où certains services sont externalisés sans aucune précaution particulière, sans en informer le personnel informatique. Nous développons actuellement des méthodes destinées à analyser les prestations tierces intégrées au réseau. Ces recherches montreront à quel point une entreprise peut s’exposer à des attaques via les failles présentes dans les systèmes de ses collaborateurs. »

Radar sera disponible à la vente en France courant 2016.

*Source : https://nvd.nist.gov/cvss.cfm
**Source : https://www.us-cert.gov/ncas/alerts/TA15-119A?hootPostID=b6821137ae5173095390bd502ae04892