Rapport Cloudflare : Les entreprises rencontrent des problèmes avec les approches de sécurité obsolètes, tandis que le nombre de menaces en ligne augmente

juin 2024 par Cloudflare

Cloudflare, Inc. publie son rapport intitulé L’état de la sécurité des applications en 2024. Les conclusions du rapport de cette année révèlent que les équipes de sécurité ont du mal à suivre le rythme des risques posés par la dépendance des entreprises envers les applications modernes, c’est-à-dire la technologie qui soutient l’ensemble des sites les plus fréquentés aujourd’hui. Le rapport souligne que le volume de menaces provenant de la chaîne d’approvisionnement logicielle, ainsi que le nombre croissant d’attaques par déni de service distribué (DDoS) et de bots malveillants, dépassent souvent les ressources dont disposent les équipes dédiées à la sécurité des applications.

Le monde numérique d’aujourd’hui tourne autour des applications web et des API. Ces dernières permettent aux sites d’e-commerce d’accepter les paiements, aux systèmes de santé de partager les données des patients de manière sécurisée, tout en nous permettant également d’utiliser nos téléphones. Toutefois, plus nous nous reposons sur ces applications, plus la surface d’attaque s’étend. Ce phénomène est encore amplifié par la demande poussant les développeurs à proposer rapidement de nouvelles fonctionnalités (p. ex. des fonctions soutenues par l’IA générative). Or, si les applications restent sans protection, leur exploitation peut conduire à des perturbations de l’activité, à des pertes financières et à l’effondrement d’infrastructures essentielles.

« Les applications web sont rarement conçues dans une optique de sécurité. Pourtant, nous nous en servons tous les jours pour toutes sortes de fonctions critiques et cette utilisation en fait une cible de choix pour les pirates », explique Matthew Prince, cofondateur et CEO de Cloudflare. « Le réseau Cloudflare bloque en moyenne 209 milliards de cybermenaces chaque jour pour ses clients. La couche de sécurité entourant les applications d’aujourd’hui est devenue l’un des composants les plus essentiels pour s’assurer qu’Internet demeure sécurisé. »

Quelques conclusions essentielles du rapport Cloudflare 2024 consacré à l’état de la sécurité des applications :

• Les attaques DDoS continuent d’augmenter en nombre et en volume : l’approche DDoS demeure le vecteur de menace le plus utilisé pour s’en prendre aux applications web et aux API, en totalisant 37,1 % de l’ensemble du trafic d’applications atténué par Cloudflare. Les secteurs les plus visés étaient celui des jeux vidéo/jeux de hasard, le secteur de l’informatique et d’Internet, le secteur des cryptomonnaies, le secteur des logiciels, ainsi que celui du marketing et de la publicité

• Premier correctif et première exploitation, la course entre les systèmes de défense et les acteurs malveillants s’accélère : Cloudflare a observé un délai d’exploitation plus rapide que jamais des nouvelles vulnérabilités zero-day, avec notamment une occurrence d’exploitation seulement 22 minutes après la publication de la démonstration de faisabilité (PoC, Proof-of-Concept).

• Laissés sans surveillance, les bots malveillants peuvent provoquer d’importantes perturbations : un tiers (31,2 %) de l’ensemble du trafic provient des bots, dont la majeure partie (93 %) ne font l’objet d’aucun contrôle et peuvent se montrer potentiellement malveillants. Les secteurs les plus visés étaient celui de la production et des biens de consommation, le secteur des cryptomonnaies, le secteur de la sécurité et des investigations, ainsi que le gouvernement fédéral américain.

• Les entreprises font appel à des approches obsolètes pour sécuriser leurs API : les règles de pare-feu d’applications web (WAF) traditionnelles qui s’appuient sur un modèle de sécurité négative (la présomption que la majeure partie du trafic web est inoffensif) constituent un des moyens les plus utilisés pour se protéger contre le trafic lié aux API. Un nombre beaucoup plus réduit d’entreprises mettent en œuvre les bonnes pratiques bien plus largement acceptées en termes de sécurité qui composent un modèle de sécurité positive (c’est-à-dire une définition stricte du trafic autorisé, le système refusant le reste).

• Les dépendances liées à des logiciels tiers posent un risque croissant : les entreprises utilisent en moyenne 47,1 éléments de code provenant de fournisseurs tiers et établissent une moyenne de 49,6 connexions sortantes à des ressources tierces pour renforcer l’efficacité et les performances de leurs sites web (p. ex. en tirant parti de Google Analytics ou Ads). Toutefois, comme le développement web s’est largement adapté pour autoriser le chargement de ce type de code tiers et d’activité au sein du navigateur de l’utilisateur, les entreprises sont de plus en plus exposées aux risques visant la chaîne d’approvisionnement, ainsi qu’aux problèmes de responsabilité et de conformité.

Méthodologie du rapport : ce rapport se base sur les schémas de trafic agrégé (observés du 1er avril 2023 au 31 mars 2024) sur l’ensemble du réseau mondial de Cloudflare. Les données et les informations sur les menaces issues du réseau Cloudflare sont complétées par des sources tierces, telles que citées dans le rapport. Cloudflare a atténué 6,8 % du trafic liés aux applications web et aux API sur la période de collecte des données. Le trafic atténué se définit comme n’importe quel trafic bloqué ou ayant fait l’objet d’un test de vérification par Cloudflare. Le type de menace spécifique et la technique d’atténuation mise en œuvre dépendent de nombreux facteurs, comme les potentielles lacunes dans la sécurité des applications, la nature de l’activité de la victime et les objectifs de l’acteur malveillant.