Sécurité IT : des réponses disproportionnées aux incidents
NTT Group Security constate que les entreprises restent globalement mal préparées pour affronter des incidents majeurs de sécurité.
Globalement mal préparées pour affronter des incidents de sécurité majeurs, les organisations de toutes tailles peinent aussi à se défendre efficacement contre les menaces de moindre ampleur.
C’est l’un des nombreux constats établis par NTT Group Security dans l’édition 2015 de son Global Threat Intelligence Report.
La branche sécurité du groupe japonais NTT (coté sur le NYSE et connu essentiellement pour son activité télécoms) perçoit des évolutions dans la stratégie de pirates informatiques, qui visent de plus en plus souvent les utilisateurs finaux en entreprise.
Sur les 10 principales failles exploitées l’année dernière par les cyber-criminels, 7 touchaient des postes clients, que ce soit au niveau de Windows, d’Internet Explorer, de Java ou encore d’Adobe Flash.
Il devient d’autant plus important d’éduquer les employés en les informant clairement des pratiques non autorisées sur leur(s) poste(s) de travail… et des sanctions qu’ils encourent en cas de non-respect.
La réflexion doit surtout s’élargir au-delà du périmètre « traditionnel » du réseau d’entreprise : à l’heure où se développent les usages mobiles avec à la clé une décentralisation des données, les portes d’entrée se multiplient pour les hackers.
C’est sans compter l’efficacité toute relative des solutions antivirus, qui n’ont repéré « que » 46 % des logiciels malveillants lors des tests menés en 2014 par NTT Group Security.
Les tests en question ont aussi permis de détecter de nombreux systèmes mal paramétrés et/ou non maintenus à jour. Sur ce dernier point, 76 % des vulnérabilités identifiées sur des postes clients datent de 2012 ou d’avant. Pour autant, malgré la disponibilité de correctifs, il faut en moyenne près de 200 jours pour résorber totalement une brèche d’importance moyenne ou critique (score d’au moins 4 sur 10 à l’échelle CVSS).
Entre discernement et segmentation
Passé la gestion des patchs et du paramétrage des machines, le contrôle de l’architecture réseau représente un autre défi. La fragilité d’un seul segment peut suffire à infecter les autres, surtout s’ils ne sont pas hiérarchisés en domaines disposant chacun d’accès restreints – par exemple, l’impossibilité, pour les employés d’un centre d’appel, d’accéder à l’environnement des développeurs.
L’absence de contrôle d’accès au niveau du routeur, voire de pare-feu et de systèmes de détection d’intrusion facilite la tâche des pirates, qui peuvent exploiter les particularités du réseau à leur avantage pour mieux dissimuler leurs attaques.
Les trois quarts des entreprises étudiées (74 % très exactement ; voir la méthodologie) n’ont pas ailleurs pas de plan formel de réponse aux incidents. Elles n’ont généralement pas défini leurs priorités (restaurer les données ? sécuriser les points détectés comme vulnérables ?…) et ignorent parfois qui contacter en premier chez les partenaires.
Au global, le secteur de la financé reste le plus ciblé : il concentre 18 % des attaques recensées, souvent en lien avec des campagnes de phishing. Suit le secteur des services aux entreprises, qui représente la plus haute valeur ajoutée potentielle au vu du marché concerné (BtoB).
Détecter une attaque n’est pas forcément y répondre. Les organisations font d’ailleurs généralement encore appel à l’expertise de prestataires externes pour gérer cette deuxième phase.
Exception notable pour les attaques par déni de service distribué (DDoS, visant à rendre des ressources indisponibles en les saturant de requêtes) : les outils disponibles semblent prouver leur efficacité, selon NTT Group Security.
Crédit photo : Ed Samuel – Shutterstock.com