Pas moins de 10137 nouvelles vulnérabilités ont été découvertes en 2016, soit une hausse de 15% par rapport à l’année précédente. Le détail de ces vulnérabilités est référencé dans la base de données “Common Vulnerabilities and Exposures” (CVE) et classé par criticité.

Plus de 28 nouvelles vulnérabilités détectées chaque jour !

Joomla, WordPress, Windows, Linux, iOS, Android, MySQL… toutes les technologies, CMS, systèmes d’exploitation sont touchés. Ces failles de sécurité sont connues et consultables par tous même si 42% ne sont pas encore documentées et sont potentiellement de type “Zero Day”.

La vulnérabilité Dirty-Cow est celle qui a fait le plus parler d’elle : référencée CVE-2016-5195, elle était restée en sommeil pendant 9 ans. Cette vulnérabilité exploitable permet à un attaquant de gagner les privilèges de niveau root sur le système affecté de toutes les solutions à base de Noyau Linux : Serveur, Station de travail, Téléphone Portable (Android), routeurs, switch mais aussi les solutions à base de conteneurs (Docker).

La grande majorité des entreprises pensent que seulement les hackers professionnels sont susceptibles de les attaquer. Cependant, l’exploitation de ces failles est à la portée de tous : 1587 exploits publics (code permettant d’exploiter une vulnérabilité) ont été publiés en 2016. Un étudiant voulant tester ses connaissances et/ou un concurrent malveillant pourront très facilement atteindre leur cible dès lors qu’ils auront repéré une faille de sécurité non corrigée.

Plus proche de nous, on observe que plusieurs sites internet des candidats à la présidentielle 2017 subissent des cyber-attaques. En y regardant d’un peu plus près, on observe que ces derniers ne sont pas à jour (utilisation de la version de WordPress 4.4.2 pour le site en-marche.fr d’Emmanuel Macron, 4.3.3 pour fillon2017.fr de François Fillon) alors que la version 4.7.2, publiée fin janvier, indiquait une “importante mise à jour de sécurité”.

Ces vulnérabilités sont régulièrement mises en avant dans la presse. Elles raisonnent comme des piqûres de rappel pour les administrateurs réseaux, responsables de la sécurité des systèmes d’information (RSSI) et directeurs des systèmes d’information (DSI) qui doivent surveiller que leurs actifs ne sont pas vulnérables. Cependant, la majeure partie des attaques qui affectent les failles de sécurité d’entreprises ne sont pas relayées. Ceci conforte les PME que le risque tend vers 0 du fait de leur petite taille. S’il est vrai que leurs bases de données sont moins intéressantes pour les hackers, ces entreprises sont principalement utilisées comme tremplin pour une attaque d’une plus grande ampleur. Ainsi, une faille exploitée pourra servir à distribuer des virus, lancer des vagues de spam ou des attaques par Déni de Service Distribué (DDoS) par exemple. (77% des cyber-attaques concernent les PME)

Les RSSI doivent prendre en compte la croissance continue des vulnérabilités

Les dirigeants d’entreprises se sensibilisent au risque informatique et souhaitent plus de garanties sur leur niveau de risque. Alors que l’offre d’assurance en cyber risque se structure (gestion de l’incident une fois l’attaque détectée), il est préférable de renforcer sa sécurité préventive pour réduire la surface d’attaque en amont. Les audits de sécurité réalisés deux ou trois par an ne suffisent plus. En prenant en compte le fait qu’il y a une moyenne de 28 nouvelles vulnérabilités chaque jour, la mise en place d’une récurrence est nécessaire. L’analyse en continue permet d’être alerté dès que le système informatique est vulnérable. Le responsable de la sécurité informatique peut ainsi effectuer la remédiation rapidement et quotidiennement. De ce fait, la charge de travail est lissée, au contraire des audits ponctuels nécessitant la mobilisation de ressources humaines pour une intervention de plusieurs jours.

Quid des vulnérabilités dans le Cloud ?

Le marché français des solutions et services de Cloud Computing a atteint 6 milliards d’euros en 2016. Les avantages en termes de flexibilité, de nouvelles ressources et de réduction des coûts ne sont plus à démontrer. De plus, le déploiement d’une infrastructure dans le Cloud permet de renforcer la sécurité par défaut car les fournisseurs IaaS (infrastructure comme un service) assurent la sécurité de l’hébergement et de la mise en réseau. L’entreprise peut donc se concentrer sur l’analyse des vulnérabilités touchant les données, les applications, le système d’exploitation et les configurations du réseau ou du pare-feu, diminuant de ce fait la surface d’attaque globale. Cette partie étant sous la responsabilité du client, il doit vérifier la vulnérabilité de ses actifs et que ses solutions de sécurité soient correctement paramétrées pour être efficaces.

Cependant, il faut souligner que le Cloud n’est pas sans faille pour autant : on dénombre 457 vulnérabilités ayant affecté les AMI (Amazon Machine Image) Linux publiques proposées par Amazon en 2016.

Connaître ses vulnérabilités c’est bien, les traiter c’est mieux.

Les vulnérabilités touchent autant les entreprises ayant une infrastructure de type physique que virtuelle, Cloud ou encore hybride. Une fois que la démarche d’analyse des vulnérabilités en continue est mise en place, les entreprises doivent trouver les interlocuteurs à même de leur fournir un support de qualité. L’objectif ici n’est pas d’obtenir la liste exhaustive des failles de sécurité de son SI sans avoir la possibilité de les analyser et d’établir un plan de remédiation efficace.

La plupart des entreprises indiquent qu’elles n’ont pas le temps de traiter leurs vulnérabilités et espèrent passer au travers des cyber-attaques. Mais la raison principale de ce laxisme est qu’elles ne disposent pas des ressources humaines nécessaires et compétentes pour mettre en place un plan d’action de gestion des failles. En plus d’investir dans une solution performante, le prestataire doit fournir un support technique et un accompagnement personnalisé. Une solution de sécurité sera efficace seulement si elle est correctement utilisée.

Alors que le nombre de vulnérabilités connues a pratiquement doublé en 4 ans (+98%) l’orientation du marché vers le Cloud hybride renforce la crainte de devoir gérer une masse toujours plus importante de failles. D’autant plus sur des environnements informatiques diversifiés. Une étude du cabinet Gartner démontre qu’en effet, quasiment plus aucune entreprise ne pourra se passer du Cloud d’ici 2020.

_________
Sergio Loureiro est PDG de SecludIT