Actu
L’étude sur la sécurité commanditée par F5 conclut à la défaillance des pare-feux traditionnels face aux nouvelles attaques DNS et DDos
décembre 2011 par F5
F5 Networks, Inc., chef de file sur le marché mondial de l’ADN (Application Delivery
Networking), annonce les résultats de son étude sur la sécurité. Intitulée « F5 Networks 2011 ADC Security
Study », celle-ci évalue l’incidence sur les grandes entreprises d’attaques applicatives et réseau et passe au
crible les pratiques de sécurité adoptées par celles-ci pour se prémunir contre ces menaces.
Cette étude d’envergure mondiale menée par Applied Research, cabinet d’études de marché indépendant,
révèle qu’il devient de plus en plus difficile de se défendre contre ces attaques, de surcroît onéreuses à
gérer — les pare-feux traditionnels affichant leurs limites. Pour 92% des responsables interrogés, les ADC
(Application Delivery Controller) peuvent remplacer avantageusement les solutions de sécurité
traditionnelles, l’étude relevant au passage que l’utilisation d’ADC dans une optique sécuritaire continue de
croître. (Voir la présentation des résultats en images).
« Les technologies de sécurité traditionnelles peinent à suivre le rythme des nouvelles menaces ; alors que
les cyber-attaques redoublent de malveillance, la dispersion géographique des effectifs est de plus en plus
évidente au même titre que la complexification des infrastructures », précise Karl Triebes, directeur
technique et vice-président senior du pôle Développement produits chez F5.
« Raisons pour lesquelles nombre d’entreprises se tournent vers les ADC (Application Delivery Controller)
pour résoudre les problèmes de sécurité critiques qui échappent aux boucliers traditionnels. »
Des menaces contre lesquelles il est aujourd’hui plus difficile de se défendre
Face à la montée en complexité des infrastructures et des cyber-attaques, l’étude révèle que les entreprises
éprouvent des difficultés à défendre leurs réseaux et leurs applications. Il apparaît que les attaques
DNS sont les plus fréquentes et les plus difficiles à parer ; leurs conséquences sur les entreprises sont aussi
les plus lourdes. « Nous avons essuyé quelques attaques publiques notables, à la fois par déni de service
distribué (DDoS) et par scripts », avoue un directeur technologique dans un groupe témoin constitué
récemment, faisant référence à la difficulté croissante de se protéger contre ces attaques. « Nous avons
revu entièrement notre politique et notre infrastructure l’an dernier à cause de cela. »
Le coût élevé des menaces complexes
L’incidence des attaques DNS et sur des données cryptées est très lourde, tous secteurs d’activité
confondus ; d’après l’étude, le coût généralement supporté par entreprise s’élève à 682 000 dollars sur
12 mois. Plus de 50% des entreprises déplorent une perte de productivité, 43% une perte de données et
31% un manque à gagner. Autres coûts induits par ces attaques, dont les entreprises font les frais : une
perte de confiance de la clientèle, des amendes réglementaires, et le détournement de fonds ou de biens.
Les solutions actuelles ne sont pas à la hauteur
D’après l’étude, les technologies de sécurité traditionnelles sont inopérantes face à des menaces en
constante évolution. Parmi les entreprises interrogées, au cours des 12 derniers mois, 42% ont subi une
défaillance de pare-feu provoquée par une attaque par déni de service (DoS) ciblant la couche réseau, et
36% ont été victimes d’attaques DoS au niveau applicatif. Pour 38% des responsables interrogés, les gardefous
traditionnels laissent à désirer, tant pour appréhender le trafic dans son contexte que pour se prémunir
contre les menaces combinées complexes. « Les technologies de sécurité traditionnelles ne sont plus
efficaces », constate un directeur technologique du groupe témoin. « S’agissant des pertes de données,
face à des ennemis plus expérimentés, nous réalisons qu’il nous faut être véritablement à la pointe. »
Des ADC au service de la sécurité
« Depuis trois ou quatre ans, nous utilisons plus largement les ADC », précise un directeur technologique du
groupe témoin. « Nous y avons été poussés pour deux raisons : les questions de sécurité et notre faculté à
déployer plus rapidement d’avantage d’applications Web 2.0. »
Le pôle informatique inscrit l’utilisation d’ADC dans une démarche de sécurité, un tiers des responsables
interrogés exploitant d’ores et déjà les ADC à cette fin et la quasi-totalité envisageant cette utilisation.
D’après l’étude, ils ne sont que 8% à estimer suffisants leurs garde-fous traditionnels et à exclure tout
recours aux ADC. Ils sont 92%, en revanche, à prévoir diverses fonctions de sécurité spécifiques pour les
ADC tandis que près de la moitié des responsables interrogés sont convaincus que les ADC peuvent
remplacer plusieurs technologies de sécurité traditionnelles, si ce n’est la totalité d’entre elles.
« Si un ADC fait l’objet d’une attaque, vous avez au moins la possibilité de vous adapter et d’éliminer ce
vecteur d’attaque, sans mettre en péril votre réseau ou votre application », précise un analyste senior
participant au groupe témoin. « Vous pouvez isoler la menace du reste du système. »
Recommandations
· Unifier le framework de sécurité – Les entreprises doivent renforcer la communication entre leurs
silos de sécurité de manière à obtenir un profil de sécurité réseau très complet. Les technologies de
sécurité traditionnelles ne gèrent qu’une infime proportion des vecteurs d’attaque potentiels. Si une
entreprise opère un déploiement en silos de ses ressources de sécurité — protection du périmètre,
protection de la couche applicative, protection des données, etc. — elle perd de vue le contexte
individuel de chaque silo et, ce faisant, les incidences possibles sur les autres.
· Appréhender les attaques en contexte – Nombre d’attaques prennent à la fois pour cibles le
réseau, le protocole, l’utilisateur et l’application. En unifiant la sécurité sur les couches L3 à L7 de la
pile réseau, l’entreprise est mieux à même d’identifier ces menaces mixtes, de se défendre et de
s’adapter. Elle possède un avantage sur les pirates à qui elle complique la tâche et qui tirent plus
difficilement parti d’une vulnérabilité sur plusieurs vecteurs.
· Faire preuve de réactivité et s’adapter – Compte tenu de l’apparition constante de nouveaux
exploits et vulnérabilités, le framework de sécurité doit réagir rapidement à l’évolution des menaces.
Les entreprises doivent privilégier les solutions capables de s’adapter rapidement aux vulnérabilités
potentielles, voire de les anticiper.
· Monter en capacité pour combattre les attaques – Comme en témoignent les attaques
perpétrées récemment par les Anonymous et LulzSec, les pirates informatiques n’hésitent pas à
recourir à des schémas d’attaques massives, mondialisées et aléatoires. L’approche choisie se doit
de résister à l’envergure des attaques actuelles de manière économique.
· Fonder une communauté solide – Les entreprises peuvent mettre à profit le potentiel d’une
communauté d’utilisateurs pour gérer un paysage en pleine évolution. S’appuyant sur des individus
qui sont du même avis, elles profitent de leur sagesse et de leur éclairage, et gagnent ainsi en
visibilité, en autorité et en maîtrise. Fortes de la participation active d’une communauté engagée,
elles améliorent leur réponse dynamique aux menaces et leur adaptabilité.
À propos de l’étude
L’étude « F5 Networks 2011 ADC Security Study » a été commandée par F5 pour évaluer les menaces de
sécurité actuelles et analyser leur incidence sur la gestion de la sécurité en entreprise. Menée par Applied
Research en septembre 2011 sur la base d’entretiens téléphoniques et de groupes témoins, cette étude
s’appuie sur les réponses apportées par un millier de grandes entreprises dans 10 pays à travers le monde.
Applied Research a eu comme interlocuteurs des décideurs informatiques évoluant à des postes différents.
L’étude est disponible en ligne à cette adresse http://www.f5.com/en-us/tools/external-links/wwwdeprecated/
f5-2011-adc-security-study.html.
