Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Les DSI admettent investir des millions à fonds perdu dans une cybersécurité
Qui se révèle inopérante sur la moitié des attaques

Le , par Victor Vincent

23PARTAGES

6  0 
Une étude menée par Vanson Bourne auprès de 500 DSI au total, en poste dans de grandes entreprises en France, en Allemagne, aux États-Unis et au Royaume-Uni, portant sur la fréquence et l’incidence d’une sécurité informatique inefficace indique que 90 % des DSI s’attendent à être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces. Ces décideurs informatiques sont unanimes pour dire que les fondements de la cybersécurité, clés cryptographiques et certificats numériques, n’étant actuellement aucunement protégés, les entreprises sont dans l’ignorance, en proie au chaos, et incapables de se défendre, d’après le rapport de l’étude.

Selon Vanson Bourne, les DSI reconnaissent gaspiller plusieurs millions de dollars dans la superposition de mécanismes de défense puisque ces outils vouent une confiance aveugle aux clés et aux certificats et se révèlent incapables de différencier ceux dignes de confiance des autres. L’auteur de l’étude ajoute que si l’on se réfère aux prévisions de Gartner, qui estime que 50 % des attaques réseau cibleront le protocole SSL/TLS, cela signifie que des systèmes de sécurité aussi répandus que FireEye ne seront opérants que la moitié du temps. Et les DSI admettraient que leurs projets des plus stratégiques sont en danger permanent. Les principales conclusions de cette étude publiée dans un rapport sont les suivantes :


    87 % des DSI sont convaincus de l’inefficacité de leurs mécanismes de défense puisque ceux-ci sont incapables d’analyser le trafic réseau crypté pour y déceler d’éventuelles attaques ;
  • 90 % des DSI ont déjà essuyé ou s’attendent à essuyer une attaque dissimulée dans du trafic crypté ;
  • 86 % des DSI estiment que les clés de cryptage et certificats numériques dérobés sont en passe de représenter un marché extrêmement lucratif pour les pirates ;
  • 79 % des DSI conviennent que leur stratégie d’accélération de l’informatique et de l’innovation est en danger, car leurs initiatives introduisent des vulnérabilités nouvelles.


Les entreprises s’en remettent à des dizaines de milliers de clés et de certificats qui posent les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud, déclarent les auteurs de l’étude. Cette technologie a été adoptée pour contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels, rappellent ces derniers. Depuis la banque en ligne jusqu’à l’Internet des objets en passant par la sécurisation des applications et les applications mobiles, tout ce qui est basé sur IP dépend d’une clé et d’un certificat pour établir une connexion fiable et sécurisée. Cependant des cybercriminels détournent actuellement des clés et certificats sans protection pour se dissimuler dans du trafic crypté, créer de faux sites web, déployer des logiciels malveillants, élever leurs privilèges et dérober des données.

Les technologies déployées (protection des postes de travail, protection contre les menaces avancées, pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusions et prévention des pertes de données (DLP)) sont foncièrement imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Ces outils se révèlent ainsi incapables de passer au crible la grande majorité du trafic réseau crypté. D’où des failles béantes dans les mécanismes de défense des entreprises. Les cybercriminels mettent à profit ces angles morts dans le domaine de la sécurité. Ils se servent notamment de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles de sécurité.

Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi commente que « Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés ». Il ajoute également que « les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles, dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés. » Le responsable de la stratégie sécurité de Vénafi remarque que « progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pire, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans une illusion de sécurité. Cette étude indique que les DSI sont désormais conscients de dilapider des millions dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques. Selon les prévisions de Gartner, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront du trafic crypté pour esquiver les contrôles ; ces technologies sont sans défense face à elles ! Sachant que le marché mondial de la sécurité des entreprises pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel. »

Selon lui, « les marchés expriment clairement leur manque de confiance dans la cybersécurité ». En effet, ce n’est pas une coïncidence si 90 % des DSI admettent dilapider des milliards dans une cybersécurité inadéquate et si le fonds spéculatif HACK, spécialisé dans ce domaine, a perdu 25 % depuis novembre 2015. Des résultats bien en deçà de l’indice S&P500 qui, lui, s’inscrit en repli de 10 % du fait des turbulences sur les marchés. Les risques liés à des clés et certificats sans protection, échappant à tout contrôle, se multiplient à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle qu’en moyenne, une entreprise possède plus de 23 000 clés et certificats, et que 54 % des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. C’est ce qui expliquerait la crainte des DSI quant à la multiplication des clés et certificats.

À la lumière des initiatives de cryptage systématique (« Encryption Everywhere »), apparues dans le sillage des révélations d’Edward Snowden et des opérations d’espionnage de la NSA, la quasi-totalité des DSI (95 %) se disent préoccupées par la marche à suivre pour sécuriser la gestion et la protection de l’ensemble des certificats et clés de cryptage, révèle l’étude. En effet, à mesure que l’informatique s’accélèrera via l’activation et la désactivation de services en fonction de l’élasticité des besoins, préviennent les auteurs de l’étude, le nombre de clés et de certificats progressera en proportion. À la question de savoir si la rapidité de progression du mouvement « DevOps » complique encore l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises, les DSI affirment à 79 % que c’est le cas, mentionne le rapport.

Kevin Bocek rappelle que « Gartner prévoit que d’ici à 2017, trois entreprises sur quatre évolueront vers une structure informatique bimodale avec une informatique à deux axes et deux vitesses : l’une qui accompagnera les applications en place en quête de stabilité, l’autre qui dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité ». Il poursuit en déclarant que « le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique, car dans ces nouveaux environnements, la sécurité sera toujours mise à mal, et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas ».

Source : Venafi

Et vous ?

Que pensez-vous des résultats de cette étude ?

Voir aussi

le forum Sécurité

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Excellion
Membre averti https://www.developpez.com
Le 25/02/2016 à 22:01
Cela prouve, s'il en est besoin qu'un programme, aussi performant soit - il, ne pourra jamais pallier la bêtise humaine.

Les petits chefs veulent tous les accès, parce que ce sont ... Des chefs, et qu'ils savent, mais ce sont les premiers à cliquer sur un mail "rigolo" ou osé, qui va pourrir leur machine et le réseau avec.

Quant à l'utilisateur lambda, il s'en moque, il n'est pas chez lui, ce n'est pas à lui, et tout ça n'est pas son problème, mais celui du service informatique.

Bref, depenser des milliards en sécurité ne servira à rien, tant qu'on aura des tanches derrière le pupitre...
2  0 
Avatar de nicolas_ruff
Candidat au Club https://www.developpez.com
Le 17/03/2016 à 16:35
Je ne sais pas si on se connait, mais ça fait plaisir de voir que la croisade du Security #Fail gagne en popularité chaque jour
1  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 25/02/2016 à 12:10
ça me rappelle un buzz sécuritaro-franco-français

il fait pas bon faire de la gouvernance sécurité dans les grosses entreprises de toutes façons, la moitié du temps tu te bats pour obtenir des crédits qu'on veut pas te donner et l'autre moitié du temps tu prends la foudre parceque t'es responsable du fruit sécurité et de ses pépins, c'est un job de masochiste
0  0 
Avatar de BufferBob
Expert éminent https://www.developpez.com
Le 18/03/2016 à 2:54
héhéhé non on ne se connait pas, j'ai eu bien connu un de tes padawan-stagiaire-à-lunettes-bouffeur-de-céréales-et-versé-dans-le-reversing-kernel-windows à une époque, ça imprègne forcément un peu...

pour le reste et au delà du contenu en lui même, tant qu'à citer des sources sur ces forum je préfère mettre en avant les acteurs de la sécurité plutôt que re-link des éventuels zdnet ou autres clubic, une question de "qualité des matières premières" en somme pour peu qu'on s'intéresse vraiment à la sécurité informatique
0  0 
Avatar de dch13
Nouveau Candidat au Club https://www.developpez.com
Le 09/03/2016 à 21:08
Bonsoir,

Rigolo, en lisant l'article je pensai la même chose que Buffalo et Excellion...

Vous le dites en termes bruts... mais c'est clair !

DONC je reviens au sujet : c'est combien pour supprimer la bêtise et l'ignorance ?

Cela passe par les RH et la formation (en + de la techno) , mais combien de PDG en sont-ils conscients ?

C'est comme le corps humain et la médecine des labos... viser la cause n'est pas suffisant.. il faut voir GLOBAL... plus large !

Allez va, pour ma pomme de 70 balais, j'ai l'impression de bégayer !

A++
Bien à vous
Marc
0  1