Sécurité : Cisco pointe du doigt une crise de la confiance
L’édition 2014 du rapport Cisco sur la sécurité informatique dresse un tableau préoccupant, insistant sur une exploitation malveillante de la confiance dans les systèmes conduisant à des compromissions bien plus étendues que généralement constaté.
L’exploitation malveillante de la confiance dans les systèmes et les applications. Cisco la met au centre de l’édition 2014 de son rapport sur la sécurité informatique. Un résumé simple, clair et concis d’un problème clé qui se traduit, concrètement, par des attaques basées par exemple sur l’ingénierie sociale, mais également par une « érosion » de la « confiance des consommateurs dans l’intégrité des produits. » L’on pense, naturellement, à l’affaire Snowden, ou à la faille Heartbleed de la librairie de chiffrement OpenSSL, Cisco ne manquant pas d’évoquer la première. Pour l'équipementier, la situation est simple : « tous les utilisateurs devraient peut-être partir du postulat que l’on ne peut ou doit faire confiance à rien dans le monde cyber. » Bref, douter d’abord, plutôt que de faire confiance, à priori, comme c’est trop généralement le cas. Une approche conduisant à une situation dont le constat n’est guère encourageant, montrant que la crise de confiance trouve de multiples justifications.
Ainsi, Cisco relève, comme d’autres avant lui, la croissance du recours aux attaques par « point d’eau », consistant à compromettre les sites Web visités par les cibles pour mieux infecter ces dernières. De quoi viser de plus en plus haut, avec des acteurs malveillants qui « obtiennent l’accès aux serveurs d’hébergement Web, aux serveurs de noms, et aux centres de calcul ». Difficile ? Pas si sûr, alors que « Java compte pour 91 % des exploits Web » et que « 76 % des entreprises utilisant les services de sécurité Web de Cisco utilisent Java 6, une version en fin de vie non supportée. » Et Cisco de suggérer des méthodes de protection, comme tout simplement désactiver Java lorsqu’il n’est pas nécessaire, ou encore commencer par déployer Java 7 ainsi que des outils capables de superviser les flux spécifiques aux applications écrites avec ce langage.
Mais deux éléments peuvent sembler particulièrement préoccupants. Tout d’abord, une évolution des cibles, avec une présence croissante des logiciels malveillants dans les industries la produits d’appareils électronique, de l’agriculture, et de l’extraction minière, mais également de la chimie et de l’énergie. Surtout, « les enquêtes d’entreprises multinationales montre des preuves de compromission interne. Du trafic suspect émane de leurs réseaux et cherche à se connecter à des sites » douteux. Selon Cisco, c’est bien simple : toutes entreprises comptent au moins un système communicant avec des hôtes malicieux. Et l’équipementier d’indiquer avoir « détecté du trafic à destination de sites Web militaires ou de gouvernements au sein d’entreprises qui ne commercent généralement pas avec ces organisations, ainsi que vers des zones géographiques à risque, tel que des pays sous embargo. » Et cela n’est pas « un signe définitif de compromission […] un tel trafic pourrait indiquer que les réseaux ont été compromis » et sont utilisés par des cybercriminels les utilisant pour attaquer les organisations vers lesquelles le trafic suspect est dirigé…
Et si la détection semble progresser, avec des alertes en croissance de 14 % sur un an, des indicateurs « suggèrent que les infiltrations sur les réseaux restent non détectées durant de longues périodes. » Et Cisco de recommander aux entreprises d’actualiser leurs approches de sécurité, en apprenant à connaître et à contrôler ce qui se connecte à leur réseau, les utilisateurs, et les activités. Mais pour l’équipementier, il convient également d’accepter, de facto, que « de nombreuses attaques seront réussies ». Ce qui implique d’avoir en place « un plan formel » de gestion de crise permettant de réagir rapidement.
Reste que dans les entreprises, les RSSI peinent encore, « même si les budgets sont généreux », à recruter les compétences requises pour lutter contre les menaces. Car outre des profils techniques, l’exploitation des systèmes de sécurité les plus avancés requiert des profils d’analystes de données. Ces data scientists si rares et si prisés…
Pour son étude, Cisco s’est appuyé sur ses offres de sécurité. Celles-ci inspectent quotidiennement 16 milliards de requêtes Web, 93 milliards de courriers électroniques, 200 000 adresses IP, 400 000 échantillons de logiciels malveillants, auxquels s’ajoutent 33 millions de fichiers et 28 millions de connexions réseau analysés grâce au service FireAMP de Sourcefire, acquis l’an passé par l’équipementier. Ce qui se traduit notamment par la détection de 50 000 intrusions réseau par jour.