L’utilisateur et ses terminaux, principales cibles des pirates
Selon NTT Com Security, une très large majorité des vulnérabilités se situent sur les terminaux des utilisateurs. C’est là que ce concentrent logiquement les attaques.
Pour NTT Com Security, les attaques se concentrent « de plus en plus » sur les utilisateurs finaux et sur leurs terminaux. Elles sont en outre de plus en plus souvent couronnées de succès. Pour appuyer son propos, le fournisseur de services de sécurité relève qu’en 2014, « les attaques ont systématiquement chuté au cours des week-end et des jours fériés, c’est-à-dire lorsque les salariés ne sont pas au bureau et leurs systèmes sont éteints ou non utilisés ».
A moins que ce recul d’activités cybercriminels en période de creux ne soit simplement un choix des attaquants : pourquoi s’évertuer à viser des utilisateurs absents ? FireEye avait précédemment observé un phénomène comparable, notamment au cours des mois d’été, en se basant sur les tentatives ayant abouti. Et de souligner alors l’appétence des pirates pour le hameçonnage ciblé (ou phishing).
Ce qui n’est pas une surprise si l’on en croît les chiffres de NTT Com Security : selon ceux-ci, à l’échelle du monde entier, 85 % des vulnérabilités détectées dans les entreprises affectent les terminaux des utilisateurs finaux « et non les serveurs ». Alors, pour le prestataire, cette situation est principalement liée à la « prolifération des terminaux portables, source d’infection souvent largement sous-estimée dans les entreprises ».
Pour autant, NTT Com Security relève que « 74 % des vulnérabilités identifiées sur tous les systèmes étudiés avaient plus de 2 ans, et près de 9 %, plus de 10 ans », l’an passé. Le prestataire rejoint ainsi HP, quoiqu’en formulant un constat encore plus alarmant. Fin février dernier, le groupe indiquait ainsi que 44 % des brèches connues trouvaient leur origine dans des vulnérabilités vieilles de 2 à 4 ans. Plus tard, courant avril, RSA relevait de son côté que 40 % des membres du Security for Business Innovation Council (SBIC) n’avaient pas de programme de gestion des vulnérabilités en place…
Kai Grunwitz, vice-président Europe Central services professionnels de NTT Com Security, fait un constat comparable. Dans un entretien avec la rédaction, il relève ainsi que « la gestion des configurations et des correctifs est un problème. Les équipes se concentrent souvent sur les nouveaux problèmes et oublient les anciens, souvent faute de ressources ».
Mais il manque aussi une véritable culture du test d’intrusion et de l’évaluation de la sécurité des systèmes en place : « c’est un marché de niche. Seuls quelques clients, sur des domaines très sensibles, font procéder régulièrement à des tests ». Et d’évoquer, parmi ses clients, un constructeur automobile.
En outre, pour beaucoup d’entreprise, l’évaluation passe par « un fournisseur local, pas des professionnels du test d’intrusion. Et souvent, c’est un test, et c’est tout, sans suivi ». Las, « la cybersécurité est une course qui demande beaucoup de travail, régulier, assidu », avec classification des données, mise à l’épreuve et révision des politiques de gestion des accès et des comptes, etc.
De quoi souligner, une fois de plus, que la technologie, seule, ne fait pas tout : « un système de gestion des informations et des événements de sécurité (SIEM) n’améliorera pas votre sécurité sans ressources et processus adaptés ». Pour Kai Grunwitz, dès lors, la sécurité « comporte trois dimensions : la technologie, des ressources, et des processus ». Le tout étant contraint à des efforts continus.
En France, selon NTT Com Security, le secteur financier, l’industrie pharmaceutique et les services sont les plus visés par les attaquants. Les médias, malgré la forte résonance accordée à l’attaque dont a été victime TV5 Monde, n’entre même pas dans le Top 10 du prestataire.