Cette étude comporte des informations qui aideront les entreprises et les gouvernements à appréhender l’état de la menace et à évaluer en conséquence leur démarche de sécurité.

Les résultats de l’enquête indiquent que les motivations des pirates continuent d’évoluer. En effet, on dénombre une forte augmentation du nombre de groupes « hacktivistes », tels que les Anonymous et LulzSec, qui réalisent des attaques hautement organisées en réponse à des comportements qu’ils jugent inacceptables. À l’évolution des motivations s’ajoute celle des techniques d’attaque qui ont conduit à un accroissement du taux de réussite des infiltrations. Les entreprises et les gouvernements sont ainsi confrontés à de nouveaux défis pour l’évaluation des risques et leur remédiation.

Jusqu’ici, le nombre de vulnérabilités dévoilées au cours d’une année fournissait une photographie de l’état de sécurité informatique et aidait les organisations à définir leurs priorités en matière de prévention. Selon cette nouvelle étude HP, le seul volume des nouvelles vulnérabilités connues ne constitue plus un indicateur pertinent de l’état du risque. Bien que le nombre de nouvelles vulnérabilités connues dans les applications commerciales continue de diminuer, il reste un grand nombre de vulnérabilités qui ne sont pas dévoilées à l’ensemble de l’industrie de la sécurité et qui, dès lors, ne sont pas prises en compte.

« Pour protéger les organisations d’un vaste éventail d’attaques, HP a mis en place un réseau mondial d’experts en sécurité qui cherchent les vulnérabilités n’ayant pas été publiquement dévoilées », explique Jean Charles Barbou, Directeur de la division Enterprise Security Products HP France. « Les connaissances issues de ce groupe de recherche sont intégrées aux solutions de sécurité HP afin de réduire préventivement les risques ».

Un paysage des vulnérabilités en pleine recomposition

Le nombre de nouvelles vulnérabilités publiquement dévoilées touchant des applications commerciales décline progressivement depuis 2006 avec un recul de près de 20 % en 2011 par rapport à l’année précédente. Mais les résultats de la nouvelle étude HP montrent que ce déclin ne se traduit pas par une réduction du risque.

Ce déclin s’explique par plusieurs facteurs, dont l’émergence d’un marché privé d’échange des vulnérabilités. En outre, la prolifération d’applications Web développées, comme les sites Web de commerce électronique, a fait naître un marché pour des exploits de vulnérabilités exclusifs qu’il n’est possible d’adresser qu’avec une expertise avancée.

L’étude met en évidence que :

· les rapports de nouvelles vulnérabilités sont moins nombreux mais les attaques ont plus que doublé selon les mesures réalisées par les systèmes de prévention des intrusions (IPS) de HP TippingPoint au cours du second semestre 2011.

· Près de 24 % des nouvelles vulnérabilités dévoilées pour des applications commerciales en 2011 ont un niveau de sévérité de 8 à 10. Ces vulnérabilités peuvent résulter en une exécution de code malveillant à distance, le type d’attaque le plus dangereux.

· Environ 36 % de toutes les vulnérabilités touchent des applications Web à but commercial.

· Environ 86 % des applications Web sont vulnérables à des attaques par injection de code permettant aux attaquants d’accéder aux bases de données internes au travers d’un site Web.

· Compte tenu de taux de réussite élevés, les kits d’exploits Web ont continué d’être populaires en 2011. Ces frameworks d’attaque “packagés” sont échangés ou vendus en ligne, permettant aux pirates d’accéder aux systèmes IT des entreprises et de voler des données sensibles. Par exemple, le kit d’exploit Blackhole est utilisé par la plupart des cybercriminels et a atteint un taux d’infection exceptionnellement élevé de plus de 80 % fin novembre 2011.

Pour combattre ces nouvelles menaces, HP propose la plateforme HP Security Intelligence and Risk Management (SIRM) , une plateforme intégrée pour solutions de sécurité pilotées par le risque. HP SIRM fournit une visibilité complète sur les environnements traditionnels, mobiles, et Cloud, permettant aux entreprises d’appliquer des défenses adaptatives en réponse à des risques organisationnels spécifiques.

Méthodologie

L’étude Cyber Security Risks Report est publiée tous les six mois depuis 2009 par HP DVLabs, une organisation de recherche leader spécialisée dans la découverte et l’analyse de vulnérabilités. HP DVLabs a analysé les données d’exploits de sécurité retirées des milliers d’IPS HP TippingPoint déployés en entreprise. Ces données ont ensuite été corrélées avec des informations issues des sources suivantes :

· The Zero Day Initiative, un programme de recherche dirigé par HP DVLabs, qui est conçu pour améliorer la sécurité en identifiant les failles logicielles qui ont conduit à des attaques informatiques et à des vols de données.

· Open Source Vulnerability Database, une base de données ouverte et indépendante créée par et pour la communauté d’analyse des vulnérabilités.

· Des données d’applications Web produites par le groupe de recherche HP Fortify Application Security Center (ASC) Web Security Research Group, qui aide les professionnels de la sécurité informatique, les spécialistes de l’assurance qualité et les développeurs à faciliter la sécurisation des applications Web au sein des entreprises, par les HP Software Professional Services et par HP Fortify on Demand.

Les données produites par HP DVLabs alimentent en outre HP Information Security Pulse, une application mobile gratuite qui permet aux professionnels de la sécurité informatique de surveiller en temps réel les tendances de la menace informatique. Cette application est actuellement disponible pour l’écosystème HP webOS et sera bientôt proposée pour les tablettes mobiles iOS et Android.