Sécurité : des vulnérabilités moins nombreuses, mais plus graves

Deux études - l’une de Symantec et l’autre de HP - viennent dresser un tableau préoccupant de l’état de la menace informatique à laquelle sont confrontées les entreprises. De mieux en mieux préparées techniquement, elles semblent toujours peiner à appréhender efficacement le facteur humain.

Les efforts des éditeurs pour renforcer la sécurité de leurs applications portent manifestement leurs fruits. Du moins est-ce l’analyse de HP qui estime qu’après un pic en 2006, le nombre de vulnérabilités présentes dans les applications commerciales ne cesse de diminuer; il aurait ainsi encore reculé de 20 % en 2011, par rapport à 2010, pour s’établir autour de 6600 nouvelles vulnérabilités ajoutées à la base de données Open Source des vulnérabilités, l’OSVDB. Dans son rapport annuel sur l’état de la menace informatique, Symantec ne dresse pas un constat très éloigné : l’éditeur a référencé près de 5000 nouvelles vulnérabilités l’an passé. Le monde connecté de l’informatique est-il plus sûr pour autant ? Pas vraiment.

Des attaques toujours plus nombreuses

Tout d’abord, la sévérité des vulnérabilités a progressé, parallèlement à la diminution de leur nombre. La part des vulnérabilités les plus graves - et permettant l’exécution à distance de code malicieux - était de 24 % l’an passé, contre 7 % en 2006, selon HP. Pour Symantec, le nombre d’attaques a progressé de 81 % l’an passé, pour atteindre 5,5 milliards. Signe de la transformation du modus operandi des cybercriminels, le nombre de variantes uniques de logiciels malveillants aurait progressé quant à lui de 41 %. De fait, le nombre d’attaques ciblées a suivi une tendance comparable, passant de 77 par jour en 2010, à 82 par jour l’an passé, selon l’éditeur. Des attaques qui s’appuient souvent sur des malwares exclusifs et qui ont majoritairement visé les gouvernements et le secteur public (25 %), devant la manufacture (15 %), la finance (14 %), les services IT (6 %), la pharmacie (6 %), ou encore les transports et les utilités (6 %). Ce sont les grandes organisations qui ont été visées en priorité (50 % des attaques ciblées concernant les organisations de plus de 2500 personnes)... suivie des entreprises de 1 à 250 personnes - 18 % des attaques ciblées.

Des situations paradoxales

Selon un sondage réalisé par HP auprès de participants au salon britannique Infosecurity, fin avril, la gestion du risque sur la sécurité des actifs informationnels des entreprises est une véritable priorité majeure - pour plus de 43 % des sondés. Mieux encore, d’importantes données permettant d’évaluer le risque sont déjà capturées, tant au niveau de la couche réseau/infrastructure - plus de 60 % des sondés déclarent en collecter au moins une quantité significative - qu’au niveau de la couche applicative - plus de 52 % des sondés en récupère un volume significatif. Dès lors, le niveau de confiance est plutôt élevé : près de 60 % des sondés se sont déclarés confiants voire très confiants dans la capacité de leurs outils à leur fournir une vision synthétique, mais complète, de leur niveau de risque. 

Reste que ce sondage n’apporte que des réponses finalement partielles. De fait, il n’indique pas sur quel type de risque portent les données capturées et utilisées pour établir la photographie de l’état d’exposition. Et si plus de 56 % des sondés se disent disposer des outils nécessaires à la découverte de vulnérabilités dans leurs applications développées sur mesure, ceux-ci ne recouvrent finalement que les menaces techniques. Hors les sondés eux-mêmes se déclarent d’abord inquiets du facteur humain, le risque d’un incident de sécurité provoqué par une maladresse quelconque. Et justement, comme le souligne Symantec, les attaques ciblées jouent largement sur le facteur humain. 


Pour approfondir sur Gestion des vulnérabilités et des correctifs (patchs)