Reuven Harrison, Directeur Technique et Co-Fondateur de Tufin Technologies, spécialiste de la Gestion du cycle de vie des politiques de sécurité, a été surpris de découvrir que 58% des professionnels interrogés pensent que les mauvaises configurations se produisent parce que les équipes IT ne savent pas quoi examiner quand ils évaluent le statut des configurations de leur réseau. Il a déclaré que le rapport est édifiant dans la mesure où plus de la moitié de ces répondants travaillent actuellement en tant que professionnels sur le secteur de la IT.

« La grande question posée par cette étude » déclare Reuven Harrison, « est de savoir comment gérer le risque que les entreprises courent avec la complexité qui fait partie des opérations de sécurité de toute PME-PMI ».

L’étude DEF CON18 de Tufin répond à cette question en révélant que :

18% des professionnels pensent que les délais et les budgets sont insuffisants pour conduire des audits et sont donc à l’origine des mauvaises configurations des réseaux.
14% pensent que les audits de compatibilité qui ne prennent pas toujours en compte les meilleures pratiques de sécurité ont joué un rôle dans la mauvaise configuration des réseaux.
Et 11% estiment que les vecteurs de menaces qui changent plus vite qu’ils ne peuvent être identifiés, jouent un rôle majeur.

« L’Automatisation de la configuration et de la gestion de la sécurité sont les meilleurs façons de résoudre ce problème », indique Reuven Harrison. Avec un nombre croissant de pirates se décrivant comme des « chapeaux noirs » pour 11% d’entre eux (pirates dont le but est de nuire ou de tirer profit de leurs actes) et des « chapeaux gris » pour 46% d’entre eux (pirates motivés par l’exploit informatique), l’immense majorité des pirates s’est concentrée sur la façon de pénétrer les réseaux – alors que moins de 30% de « chapeaux blancs » sont motivés à remédier aux failles de sécurité.

« Et quand on sait que 60% des sondés du DEF CON18 déclarent qu’ils ont un poste fixe dans le monde de l’entreprise, il est clair que les responsables informatiques ont besoin d’aborder le problème des insuffisances de sécurité de leurs réseaux en réglant la question de sa (mauvaise) configuration. Pour 75% des sondés se déclarant également pirates, il est clair que les managers IT ont besoin de réaliser qu’une mauvaise configuration réseau est un enjeu de sécurité primordial pour les équipes informatiques, » a ajouté Reuven Harrison.

Il est aussi intéressant de noter que pour 43% des participants du DEF CON18, introduire un pirate à l’intérieur même de l’entreprise est une des méthodes de piratage les plus fructueuses. Et quand on sait que la grande majorité des professionnels de la sécurité rencontrent des problèmes de réseaux mal configurés, on commence à réaliser l’ampleur du problème auquel il faut faire face.

"Cette prise de conscience devient aigüe quand on considère que 57% des professionnels de la sécurité sondés déclarent être des « chapeaux noirs » ou des « chapeaux gris » et que 68% des répondants avouent pirater les systèmes juste pour s’amuser », dit-il. Avec des réseaux si facilement pénétrés, ce n’est pas une surprise si 88% d’entre eux croient que la plus grosse menace pour les entreprises est derrière le firewall.

Toutefois, tout n’est pas si noir selon l’étude DEF CON18 : Tufin a découvert que 58% des répondants ne croient pas que le fait d’externaliser la sécurité augmente les chances d’être piraté, et pour presque la moitié des personnes sondées, cela n’influe pas sur les questions de compatibilité et de sécurité qui se posent.

« Cela réfute la théorie généralement tenue selon laquelle les bénéfices de la sécurité informatique outsourcée s’annulent par un éventail encore plus grand de risques. La sécurité informatique externalisée est devenue mature au point que les entreprises peuvent outsourcer tout ou une partie de leurs opérations de sécurité – particulièrement lorsque les opérateurs proposent des outils automatiques pour gérer le réseau et la configuration. Avec le cloud computing arrivant rapidement, c’est une bonne nouvelle » dit Reuven Harrison.

L’étude “les Habitudes du Piratage” a été réalisé avec un échantillon de 100 participants du DEF CON 18. L’étude en 14 questions a été réalisée à l’accueil lors de l’enregistrement des participants et à l’extérieur sur un échantillon de personnes sélectionnées aléatoirement et tout au long de l’événement. Toutes les réponses sont volontaires et complètement anonymes.