Un rapport sur les principaux risques offre une vue inédite des attaques de sécurité et des menaces qu’elles font peser sur les entreprises
Des experts de TippingPoint, du SANS Institute et de Qualys présentent des données associant des incidents de sécurité majeurs à des vulnérabilités spécifiques
- - Un nouveau rapport bi-annuel d’experts en sécurité de TippingPoint®, du SANS Institute et de Qualys® s’intéresse de près aux principales attaques menées au cours des six derniers mois, aux vulnérabilités qu’elles ont exploitées ainsi qu’aux dommages qu’elles provoquent dans les entreprises. Ce rapport précise que de nombreuses entreprises restent extrêmement vulnérables aux attaques contre leur sécurité, ce qui peut nuire à leur réputation et à leur activité. Il aide en outre les entreprises à analyser leurs défenses et à veiller à ce que leurs réseaux soient maintenus à jour pour réagir rapidement aux attaques émergentes d’aujourd’hui.
Le nombre et la fréquence des attaques contre la sécurité ne cessent d’augmenter, avec une incidence de plus en plus grande sur le fonctionnement des entreprises. Les types d’attaque contre la sécurité sont si différents et nombreux qu’il devient difficile de savoir quelles sont les menaces qui posent le plus gros risque. Ce rapport s’appuie sur des données récentes collectées auprès d’appliances et de logiciels utilisés dans des milliers d’entreprises victimes d’attaques. Il offre une vue précise des attaques et des vulnérabilités exploitées par ces dernières.
« En associant des informations sur les attaques à des données concernant des vulnérabilités spécifiques, nous pouvons fournir des informations tangibles et exploitables aux entreprises afin qu’elles protègent leurs systèmes », déclare Alan Paller, directeur de recherche au SANS Institute. « Notre objectif est de fournir aux professionels de la sécurité débordés les outils dont ils ont besoin pour hiérarchiser leurs ressources et leur pratiques de sécurité et déployer ainsi la meilleure protection possible pour leur réseau. »
Les points forts de ce rapport sur les principaux risques concernent notamment :
Les applications clientes les plus utilisées et non patchées qui compromettent l’entreprise en raison des vols de données : les applications PC restent bien souvent non patchées, ce qui compromet leurs machines hôtes qui sont ensuite utilisées pour propager des attaques et compromettre des ordinateurs internes. Cette faille permet aux pirates de voler des données sensibles, de perturber le réseau et d’affecter la continuité de l’activité. Adobe Acrobat Reader, Microsoft Office et Apple QuickTime figurent parmi les applications concernées.
Des attaques contre des applications Web qui sont toujours plus nombreuses et renforcent la menace posée par des sites Web auparavant de confiance : les applications Web sont concernées par plus de 60% du nombre total de tentatives d’attaques sur Internet. Ces vulnérabilités sont largement exploitées pour transformer des sites Web de confiance en serveurs malveillants générant des exploits contre les systèmes clients.
Les vulnérabilités des systèmes d’exploitation qui diminuent, mais qui continuent de représenter une menace importante pour les ressources de sécurité de l’entreprise : seul un faible nombre de vulnérabilités présentes sur les systèmes d’exploitation peuvent être exploitées à distance pour devenir des vers Internet d’envergure. Le vers Conficker/Downadup est l’exception et constitue une faille majeure dans la stratégie de sécurité d’un grand nombre d’entreprises. Les attaques contre le système d’exploitation Microsoft ont été dominées par des variantes du vers Conficker/Downadup. Au cours des six derniers mois, plus de 90% des attaques enregistrées concernant Microsoft ont ciblé la vulnérabilité liée au débordement de la mémoire tampon décrite dans le Bulletin de sécurité Microsoft MS08-067.
Toujours plus de chercheurs sur les vulnérabilités qui engendrent du retard au niveau des logiciels non patchés et augmentent ainsi les possibilités d’exploits. Le nombre de personnes découvrant des vulnérabilités à zéro jour (Zero Day) augmente rapidement et génère un nombre croissant de vulnérabilités qui restent non patchées, certaines durant deux ans. Le retard ainsi pris pour déployer les correctifs augmente la probabilité qu’un exploit cible ces vulnérabilités.
« Les attaques visant la sécurité décrites dans ce rapport sont les plus susceptibles de perturber l’activité de l’entreprise », souligne Rohit Dhamankar, directeur de l’équipe de recherche en sécurité DVLabs de TippingPoint. « Pour les entreprises, comprendre ces attaques ainsi que la manière dont elles exploitent les vulnérabilités inhérentes au réseau est une première étape fondamentale pour élaborer une stratégie de sécurité efficace. »
Et Wolfgang Kandek, directeur technique de Qualys et auteur de Laws of Vulnerabilities d’ajouter :« Fruit du travail du SANS Institute, des systèmes de prévention des intrusions TippingPoint et des statistiques sur les vulnérabilités de Qualys, ce nouveau rapport sur les risques majeurs réunit des données qui nous permettent de définir un nouveau niveau de reporting avec une vue plus complète de l’état de la sécurité Internet. Soulignant l’importance d’une collaboration pour combattre la sophistication croissante des attaques, cette initiative aide l’entreprise à réagir plus vite aux nouvelles menaces émergentes. »
En plus d’identifier les risques pour la sécurité, ce rapport fournit des recommandations pour atténuer ces menaces. L’une des analyses les plus précieuses de ce rapport concerne le dossier intitulé « Twenty Critical Controls for Effective Cyber Defense » (« 20 contrôles critiques pour une cyberdéfense efficace ») publié il y a quelques semaines. Ces contrôles réunissent les meilleures pratiques de chercheurs en sécurité de renom. Ce rapport fait correspondre ces contrôles avec les vulnérabilités spécifiques abordées.
Le rapport complet peut être consulté et téléchargé depuis www.sans.org/toprisks. Le SANS Institute a tenu une conférence de presse sur le sujet mardi 15 septembre.
À propos du SANS Institute
SANS est la source la plus fiable et de loin la plus importante au monde en matière de formation et de certification en sécurité de l’information. En outre, le SANS Institute développe, maintient et diffuse gratuitement la base la plus importante de documents de recherche sur les différents aspects de la sécurité de l’information et gère le système d’alerte précoce sur Internet baptisé Internet Storm Center. SANS a également parrainé la création de GIAC, une certification en sécurité à la pointe de l’industrie. Le SANS (SysAdmin, Audit, Network, Security) Institute a été créé en 1989 en tant qu’organisme coopératif de recherche et de formation. Ses programmes concernent désormais plus de 165 000 professionnels de la sécurité à travers le monde. Tout un éventail d’acteurs allant des auditeurs aux administrateurs réseau en passant par les directeurs de la sécurité de l’information partagent les cours qu’ils apprennent et trouvent ensemble des solutions aux défis qu’ils rencontrent. Au cœur de SANS se retrouvent les nombreux praticiens de la sécurité qui travaillent dans différentes organisations d’envergure mondiale, qu’il s’agisse de sociétés ou d’universités, et œuvrent ensemble pour aider la communauté de la sécurité de l’information.
A propos de Qualys
Qualys, Inc. est le principal fournisseur de solutions « à la demande » pour la gestion des vulnérabilités et de la conformité sous la forme de services (SaaS). Déployables en quelques heures seulement partout dans le monde, les solutions SaaS de Qualys fournissent aux entreprises une vue immédiate et permanente de l’état de leur sécurité et de leur conformité. Actuellement utilisé par plus de 3500 entreprises dans 85 pays, dont 40 des 100 premières sociétés mondiales du classement établi par Fortune, le service QualysGuard® réalise plus de 200 millions d’audits IP par an. Qualys a opéré le plus important déploiement de ressources de gestion des vulnérabilités au monde au sein d’une société figurant parmi les 50 premières entreprises mondiales du classement Fortune. Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance (« managed services ») de premier ordre et des cabinets de conseil tels que BT, Etisalat, Fujitsu, IBM, I(TS)2, LAC, SecureWorks, Symantec, Tata Communications, TELUS et VeriSign. Pour de plus amples informations, rendez-vous sur www.qualys.com.
À propos de TippingPoint et de 3Com
TippingPoint est la marque des solutions de sécurité d’entreprise de 3Com Corporation (NASDAQ : COMS), un fournisseur de solutions réseau pour l’entreprise d’envergure mondiale et d’une valeur de 1,3 milliard de dollars qui définit une nouvelle norme en matière de prix/performances pour les clients. 3Com possède trois marques globales : H3C, 3Com et TippingPoint qui proposent des solutions réseau et de sécurité très performantes pour toutes les entreprises, grandes ou petites. Le portefeuille de solutions réseau pour l’entreprise de H3C, un leader sur le marché chinois, comprend des produits aussi bien pour le centre de données que la périphérie du réseau. TippingPoint est un fournisseur d’envergure mondiale et de premier ordre de solutions de sécurité réseau complètes pour garantir la sécurité et la conformité aux normes des environnements réseau complexes des entreprises, des administrations, des fournisseurs de services et des établissements d’enseignement. Ces solutions fournissent une protection en profondeur et sans compromis des applications, de l’infrastructure et des performances.
###
Qualys, the Qualys logo and QualysGuard are proprietary trademarks of Qualys, Inc. All other products or names may be trademarks of their respective companies.
For media inquiries or to find the appropriate spokesperson
Contact: Adeline Lescale-Babel
Agence Tukilik
+33 (0)1 56 80 11 50
alescale@tukilik.com
For all other matters
Contact: pr@qualys.com
Media Contact:
Tami Casey
Qualys
media@qualys.com