Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Hewlett Packard Enterprise identifie les principaux risques pour les entreprises : vulnérabilités applicatives, mise en œuvre des correctifs et logiciels malveillants à des fins d’extorsion financière

février 2016 par Marc Jacob

Hewlett Packard Enterprise (HPE) publie l’étude HPE Cyber Risk Report 2016, qui identifie les menaces de sécurité les plus importantes ayant touché les entreprises durant l’année 2015.

Parallèlement à la disparition progressive du périmètre réseau et à l’élargissement de la surface accessible par les attaques, les professionnels de la sécurité sont mis au défi de protéger les utilisateurs, les applications et les données – sans étouffer l’innovation ni retarder les échéances des entreprises. L’édition 2016 du Cyber Risk Report détaille l’ensemble des menaces 2015 dans ce contexte, et propose des actions à mener dans les domaines clés du risque autour des vulnérabilités applicatives, des correctifs de sécurité et de l’augmentation des logiciels malveillants liés à la monétisation. Cette étude révèle également des sujets de préoccupation importants comme par exemple les nouvelles règles de recherche sur la sécurité, les « dommages collatéraux » liés à la médiatisation des violations de données, faisant évoluer ainsi l’agenda politique, et le débat actuel sur la vie privée et la sécurité.

Le nouveau champ de bataille est celui des applications

Bien que les applications web continuent de présenter des risques importants pour les entreprises, de leur côté, les applications mobiles amènent de plus en plus de risques distincts.

• L’utilisation fréquente par les applications mobiles d’informations pouvant permettre l’identification des utilisateurs représente un risque significatif pour le stockage et la transmission d’informations sensibles ou à caractère personnel. 1

• Environ 75 % des applications mobiles étudiées ont révélé au moins une vulnérabilité critique ou présentant un haut niveau de gravité en matière de sécurité, comparé aux 35 % des applications non-mobiles. 1

• Les vulnérabilités dues aux API sont bien plus courantes chez les applications mobiles que pour les applications web, tandis que la gestion des erreurs – anticipation, détection, et résolution – est plus fréquente chez les applications web.

Réparer ou périr

L’exploitation des vulnérabilités dans les logiciels reste un vecteur prioritaire pour les attaques. Les applications mobiles subissent un nombre croissant d’attaques d’envergure.

• Comme en 2014, les 10 plus importantes vulnérabilités exploitées en 2015 étaient connues depuis plus d’un an et 68 % d’entre elles l’étaient depuis 3 ans ou plus.3

• En 2015, Microsoft Windows a été la plateforme la plus ciblée, avec 42 % des 20 principales attaques réussies dirigées vers des plateformes ou des applications Microsoft.3

• 29 % des attaques réussies en 2015 ont continué d’utiliser un vecteur d’infection Stuxnet datant de 2010, qui a pourtant fait l’objet de deux correctifs. 3

Des logiciels malveillants à des fins d’extorsion financière

La finalité des logiciels malveillants évolue. Ce ne sont plus des objets dont le seul but est de nuire à l’entreprise, ils sont devenus de véritables outils générant des revenus pour les attaquants. Bien que la quantité globale de logiciels malveillants récemment découverts régresse de 3,6 %, les cibles des attaques ont évolué de façon visible en suivant les nouvelles tendances au sein des entreprises, et se concentrent de plus en plus vers de l’extorsion financière.

• Comme le nombre d’appareils mobiles connectés augmente, les logiciels malveillants se diversifient afin de cibler les plateformes mobiles les plus répandues. Le nombre de menaces, de logiciels malveillants et d’applications potentiellement non désirées sur Android découvertes quotidiennement a dépassé les 10 000, ce qui représente une augmentation de 153 % d’une année sur l’autre. Les menaces sur Apple iOS ont connu le plus fort taux de croissance, avec une augmentation de plus de 230 %2 des logiciels malveillants.

• Les attaques sur les DAB s’appuient sur les composants matériels, les logiciels chargés sur le DAB, ou sur la combinaison des deux afin de voler des informations sur les cartes de crédit. Dans certains cas, les attaques réalisées par logiciel court-circuitent les mécanismes d’authentification des cartes afin d’obtenir directement le versement du liquide par le DAB.2

• Des Banking Trojans, comme par exemple des variantes du Zbot Trojan, continuent de poser des problèmes malgré des efforts de protection. Plus de 100 000 d’entre eux ont été détectés en 2015 .2

• Le ransomware est un mode d’attaque de plus en plus courant, avec plusieurs familles de logiciels qui ont fait des ravages en 2015 en chiffrant aussi bien des données d’entreprises que de particuliers. Ces exemples incluent Cryptolocker, Cryptowall, CoinVault, BitCryptor, TorrentLocker, TeslaCrypt, et d’autres encore.2

Des recommandations et des actions à mener

• Les applications sont le nouveau champ de bataille. Le périmètre réseau s’évanouit, les attaquants ont déplacé leur centre d’intérêt directement vers les applications. Les professionnels de la sécurité doivent ajuster leurs approches en conséquence. La seule défense périmétrique ne suffit plus, il faut également protéger les interactions entre les utilisateurs, les données, les applications et les données, indépendamment de leur localisation géographique ou du type de périphérique utilisé.

• Réparer ou périr. L’année 2015 a établi un record en matière de nombre de failles de sécurité reportées et de correctifs publiés. Mais proposer des correctifs a peu d’effets positifs si les utilisateurs ne les installent pas par peur de conséquences inattendues.4 Les équipes en charge de la sécurité doivent être plus vigilantes lorsqu’il s’agit d’appliquer des correctifs soit à l’échelle de l’entreprise, soit à destination des particuliers. Et les éditeurs doivent être plus transparents sur les implications de leurs correctifs, afin que les utilisateurs n’aient plus peur de les déployer.

• Des logiciels malveillants à des fins d’extorsion financière. Les attaques de ransomware qui touchent l’entreprise ou les particuliers sont en croissance. Elles demandent aux professionnels à la fois une plus grande sensibilisation et une préparation, s’ils veulent éviter la perte de données sensibles. La meilleure protection contre le ransomware est une politique de sauvegardes claire, qui concerne tous les fichiers du système.

• Se préparer à réorienter les politiques de sécurité : les régulations transfrontalières posent des problèmes aux entreprises qui veulent mettre leurs systèmes informatiques en conformité règlementaire, et en sécurité. Les organisations doivent suivre de près l’évolution des règlementations et conserver une approche flexible en matière de sécurité.


Méthodologie

Publié par le groupe HPE Security Research, ce rapport annuel propose une analyse en profondeur des données de l’industrie sur les problèmes de sécurité les plus préoccupants, et présente aux dirigeants d’entreprise et aux professionnels de la sécurité des informations utiles pour mieux sécuriser leurs entreprises numériques et innover sans crainte.

La méthodologie complète est détaillée dans le rapport. HPE abordera les dernières tendances concernant la sécurité des entreprises à l’occasion de la conférence RSA Conference 2016, qui se tiendra du 29 février au 4 mars à San Francisco. Des informations complémentaires sur HPE lors de cette conférence annuelle sont accessibles ici. Suivez les événements grâce au hashtag #RSAC et sur @HPE_Security.


Voir les articles précédents

    

Voir les articles suivants