Une étude menée par Vanson Bourne auprès de 500 DSI au total, en poste dans de grandes entreprises en France, en Allemagne, aux États-Unis et au Royaume-Uni, portant sur la fréquence et l’incidence d’une sécurité informatique inefficace indique que 90 % des DSI s’attendent à être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces. Ces décideurs informatiques sont unanimes pour dire que les fondements de la cybersécurité, clés cryptographiques et certificats numériques, n’étant actuellement aucunement protégés, les entreprises sont dans l’ignorance, en proie au chaos, et incapables de se défendre, d’après le rapport de l’étude. Selon Vanson Bourne, les DSI reconnaissent gaspiller plusieurs millions de dollars dans la superposition de mécanismes de défense puisque ces outils vouent une confiance aveugle aux clés et aux certificats et se révèlent incapables de différencier ceux dignes de confiance des autres. L’auteur de l’étude ajoute que si l’on se réfère aux prévisions de Gartner, qui estime que 50 % des attaques réseau cibleront le protocole SSL/TLS, cela signifie que des systèmes de sécurité aussi répandus que FireEye ne seront opérants que la moitié du temps. Et les DSI admettraient que leurs projets des plus stratégiques sont en danger permanent. Les principales conclusions de cette étude publiée dans un rapport sont les suivantes :
- 90 % des DSI ont déjà essuyé ou s’attendent à essuyer une attaque dissimulée dans du trafic crypté ;
- 86 % des DSI estiment que les clés de cryptage et certificats numériques dérobés sont en passe de représenter un marché extrêmement lucratif pour les pirates ;
- 79 % des DSI conviennent que leur stratégie d’accélération de l’informatique et de l’innovation est en danger, car leurs initiatives introduisent des vulnérabilités nouvelles.
87 % des DSI sont convaincus de l’inefficacité de leurs mécanismes de défense puisque ceux-ci sont incapables d’analyser le trafic réseau crypté pour y déceler d’éventuelles attaques ;
Les entreprises s’en remettent à des dizaines de milliers de clés et de certificats qui posent les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud, déclarent les auteurs de l’étude. Cette technologie a été adoptée pour contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels, rappellent ces derniers. Depuis la banque en ligne jusqu’à l’Internet des objets en passant par la sécurisation des applications et les applications mobiles, tout ce qui est basé sur IP dépend d’une clé et d’un certificat pour établir une connexion fiable et sécurisée. Cependant des cybercriminels détournent actuellement des clés et certificats sans protection pour se dissimuler dans du trafic crypté, créer de faux sites web, déployer des logiciels malveillants, élever leurs privilèges et dérober des données.
Les technologies déployées (protection des postes de travail, protection contre les menaces avancées, pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusions et prévention des pertes de données (DLP)) sont foncièrement imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Ces outils se révèlent ainsi incapables de passer au crible la grande majorité du trafic réseau crypté. D’où des failles béantes dans les mécanismes de défense des entreprises. Les cybercriminels mettent à profit ces angles morts dans le domaine de la sécurité. Ils se servent notamment de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles de sécurité.
Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi commente que « Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés ». Il ajoute également que « les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles, dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés. » Le responsable de la stratégie sécurité de Vénafi remarque que « progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pire, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans une illusion de sécurité. Cette étude indique que les DSI sont désormais conscients de dilapider des millions dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques. Selon les prévisions de Gartner, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront du trafic crypté pour esquiver les contrôles ; ces technologies sont sans défense face à elles ! Sachant que le marché mondial de la sécurité des entreprises pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel. »
Selon lui, « les marchés expriment clairement leur manque de confiance dans la cybersécurité ». En effet, ce n’est pas une coïncidence si 90 % des DSI admettent dilapider des milliards dans une cybersécurité inadéquate et si le fonds spéculatif HACK, spécialisé dans ce domaine, a perdu 25 % depuis novembre 2015. Des résultats bien en deçà de l’indice S&P500 qui, lui, s’inscrit en repli de 10 % du fait des turbulences sur les marchés. Les risques liés à des clés et certificats sans protection, échappant à tout contrôle, se multiplient à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle qu’en moyenne, une entreprise possède plus de 23 000 clés et certificats, et que 54 % des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. C’est ce qui expliquerait la crainte des DSI quant à la multiplication des clés et certificats.
À la lumière des initiatives de cryptage systématique (« Encryption Everywhere »), apparues dans le sillage des révélations d’Edward Snowden et des opérations d’espionnage de la NSA, la quasi-totalité des DSI (95 %) se disent préoccupées par la marche à suivre pour sécuriser la gestion et la protection de l’ensemble des certificats et clés de cryptage, révèle l’étude. En effet, à mesure que l’informatique s’accélèrera via l’activation et la désactivation de services en fonction de l’élasticité des besoins, préviennent les auteurs de l’étude, le nombre de clés et de certificats progressera en proportion. À la question de savoir si la rapidité de progression du mouvement « DevOps » complique encore l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises, les DSI affirment à 79 % que c’est le cas, mentionne le rapport.
Kevin Bocek rappelle que « Gartner prévoit que d’ici à 2017, trois entreprises sur quatre évolueront vers une structure informatique bimodale avec une informatique à deux axes et deux vitesses : l’une qui accompagnera les applications en place en quête de stabilité, l’autre qui dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité ». Il poursuit en déclarant que « le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique, car dans ces nouveaux environnements, la sécurité sera toujours mise à mal, et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas ».
Source : Venafi
Et vous ?
Que pensez-vous des résultats de cette étude ?Voir aussi
le forum Sécurité 
