En cybersécurité, le danger est partout. Chaque équipement réseau, brique de sécurité, logiciel d’entreprise contient des failles de sécurité. Plus que jamais le RSSI doit être réactif et imposer une politique d’application des patchs de sécurité efficace et rapide pour écarter les menaces identifiées.
Attaque via la messagerie et les vulnérabilités découvertes dans Microsoft Exchange, attaques par phishing, par ransomware ou encore par DDOS ou les VPN, l’actualité est particulièrement anxiogène pour le RSSI en charge de la sécurité de son entreprise. L’imagination des attaquants est infinie et nombreux sont les moyens dont il dispose pour frapper une entreprise. Contrer une attaque de type “Zero Day” est sans doute le défi le plus difficile à relever et l’entreprise ne peut compter alors que sur les mesures de prévention et son plan de gestion de crise cyber pour y faire face. Outre ce cas extrême, il est possible d’écarter de nombreuses attaques, notamment grâce à un patching ultra-réactif des briques d’infrastructures et des endpoints dès que les correctifs sont mis à disposition par les éditeurs. En outre, il faut se méfier des applications non maintenues que personne ne songe à remplacer. Celles-ci sont truffées de vulnérabilités non corrigées qui peuvent être mises à profit par un attaquant pour rebondir vers des ressources IT plus critiques.
Le nombre de vulnérabilités déclarées par les éditeurs ou des tiers reste à des niveaux très élevés. Ce qui rend le patching rapide des équipements et logiciels en production absolument indispensable. Source : IBM X-Force Red
Le nombre de CVE reste au plus haut
Au Top 10 des vulnérabilités (ou CVE pour Common Vulnerabilities and Exposures) les plus importantes publiées en 2020, les chercheurs d’IBM X-Force ont classé celle portant sur le contrôleur Citrix ADC comme la plus dangereuse, car à l’origine de 25% de l’ensemble des compromissions détectées par IBM en 2020. La seconde porte sur la plateforme PHP et plus particulièrement sur le framework ThinkPHP, notamment utilisé sur certains objets connectés. Viennent ensuite dans ce classement une faille découverte dans Apache Struts initialement constatée en 2006 (!) mais toujours exploitée, une faille sur GNU Bash, sur Microsoft Remote Desktop Services ou encore dans FortiOS, etc. Les failles sont très diverses, touchent tant les solutions d’éditeurs commerciaux que des briques Open Source, des solutions d’informatique d’entreprise mais aussi IoT. Ce classement montre aussi la difficulté des entreprises à maintenir un niveau de patching correct des solutions qu’elles mettent en oeuvre, soit par négligence mais aussi à cause des dépendances multiples liées à de vieilles versions de briques d’infrastructure, ou encore l’impossibilité de mettre à jour certains dispositifs IoT.
Des attaquants de plus en plus réactifs à l’actualité
Non seulement les vulnérabilités sont nombreuses, mais le rapport relatif aux menaces du premier quadrimestre 2021 rédigé par ESET Research, a fait apparaître l’accroissement de la rapidité d’exploitation des vulnérabilités et des erreurs de configuration. Après une grande vague d’attaques liées à la pandémie de COVID-19, les attaquants ont été très prompts à exploiter les vulnérabilités permettant la prise de contrôle des serveurs Microsoft Exchange. Les chercheurs ont ainsi identifié plus de 10 groupes de pirates différents qui ont probablement exploité cette chaîne de vulnérabilités. De même, la première partie de l’année 2021 a vu une recrudescence de détournement du protocole d’accès à distance (RDP) avec de vastes attaques par brute force pour accéder aux serveurs ainsi exposés sur Internet. En parallèle, les chercheurs d’ESET Research ont noté l’augmentation du nombre de menaces liées aux cryptomonnaies ainsi qu’une forte hausse des détections de malwares bancaires Android.
Les systèmes OT concernés à leur tour
Le système d’information est concerné dans son ensemble par cette problématique de vulnérabilités à patcher au plus vite, y compris son volet industriel, l’OT (Operational Technology). Dans son rapport biannuel “ICS Risk & Vulnerability Report” du premier semestre 2021, l’éditeur Claroty pointe ainsi la hausse alarmante du nombre de vulnérabilités signalées sur les systèmes industriels. 637 vulnérabilités ont été signalées par 76 fournisseurs au premier semestre 2021, contre 449 un an plus tôt. 70,93% de ces vulnérabilités ont été classifiées de niveau haut ou critique.
Selon les chercheurs de Claroty, plus de 80% des vulnérabilités sont découvertes par des sources externes aux fournisseurs de solutions industrielles, preuve que ces derniers doivent encore investir massivement afin d’améliorer la sécurité de leurs produits, mais aussi leur capacité à détecter et corriger les vulnérabilités qui les affligent.
En 2021, le délai moyen de résolution des failles de sécurité (le MTTR pour Mean Time to Remediate) dépasse encore les 80 jours lorsque le risque est jugé élevé et reste supérieur à 50 jours pour une faille critique. Un délai pendant lequel l’attaquant peut exploiter au mieux sa faille “Zero Day”. Source : Edgescan, 2021
