L’UTILISATEUR,
CIBLE DE TOUTES
CHAPITRE 2 : L’UTILISATEUR DÉFINIT LE PÉRIMÈTRE
L’UTILISATEUR,
CIBLE DE TOUTES LES MENACES
En 2014, le Groupe NTT a recensé des millions de vulnérabilités sur les systèmes de ses clients. Une étude plus poussée apporte par ailleurs des faits très révélateurs.
Ainsi, on découvre notamment que 70 % des
vulnérabilités se situent au niveau des terminaux des utilisateurs, et non sur les serveurs. Découvrez dans l’article du Weekend Trends les répercussions de cette situation sur les schémas d’attaques.
« 70 % des vulnérabilités se situent au niveau des terminaux utilisateurs »
Source : Top 10 most common vulnerabilities in 2014.
LE TOP 10 DE S V ULNÉR ABILITÉ S
Environnement Java Runtime obsolète
Mise à jour des correctifs critiques Oracle Java SE Nombreuses vulnérabilités dans Java Web Start Mises à jour de sécurité MS Windows manquantes Version Flash Player obsolète
Adobe Reader et Acrobat obsolètes Internet Explorer obsolète
Nombreuses vulnérabilités sur Oracle Correctifs Oracle DB obsolètes/manquants Version OpenSSH obsolète
Dès lors que son système contient de nombreuses vulnérabilités non corrigées, l’utilisateur finit par représenter un véritable danger pour son entreprise. Au moment de la rédaction de ce rapport, il existait déjà des correctifs permettant de contrer la totalité des 10 principales vulnérabilités détectées en 2014. Or, force est de reconnaître que l’application de correctifs et la mise à jour des systèmes peuvent représenter des opérations complexes et fastidieuses, notamment dans les entreprises devant gérer un environnement matériel et logiciel particulièrement mobile, hétérogène et réparti sur plusieurs zones géographiques.
En 2014, 76 % des vulnérabilités identifiées sur tous les systèmes étudiés avaient plus de 2 ans – et près de 9 % plus de 10 ans. Nombre de ces vulnérabilités sont rapidement intégrées dans des kits d’exploits clé en main que les pirates peuvent facilement intégrer à leurs plans d’attaques (pour plus d’informations,
reportez-vous au chapitre consacré aux exploits).
« En 2014, 76 % des
vulnérabilités identifiées sur tous les systèmes étudiés avaient plus de 2 ans – et près de 9 % plus de 10 ans. »
VULNÉRABILITÉS PAR ANNÉE D’APPARITION
Source : Detected vulnerabilities by year of release, 2014.
1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014
0% 2% 4% 6% 8% 10% 12% 14%
Source : Un site du « Dark Web » proposant la vente d’un outil de cryptage comprenant un service de support et de sécurité.
Fort heureusement, il existe un moyen sûr de réduire l’exposition aux vulnérabilités des postes clients. Pour ce faire, les entreprises doivent revoir et renforcer leur dispositif de gestion des vulnérabilités. Plus concrètement, il s’agit pour elles de veiller à l’intégration de l’ensemble des systèmes clients des utilisateurs dans leur gestion des correctifs. Une procédure évidemment plus facile à dire qu’à faire, et qui doit souvent suivre un certain nombre de directives :
◆ Définissez un ensemble de configurations approuvées pour renforcer les terminaux des utilisateurs et assurer leur bon fonctionnement. Le cahier des charges devra non seulement intégrer les systèmes d’exploitation, applications et services approuvés, mais également préciser le navigateur pris en charge dans l’entreprise. Plus ces « normes de référence » seront concises et cohérentes, plus l’entreprise aura de facilité à les faire appliquer.
◆ Sensibilisez les utilisateurs à la teneur de ces normes, tout en précisant bien que l’utilisation de logiciels « non approuvés » est formellement interdite, et donc passible de sanctions disciplinaires.
◆ Réduisez au maximum le nombre d’administrateurs ou de comptes autorisés à changer les configurations systèmes, notamment pour réduire le risque d’installation de logiciels potentiellement non autorisés.
◆ Appliquez régulièrement des correctifs sur les systèmes de vos utilisateurs, et contrôlez-en la bonne installation.
◆ Effectuez régulièrement des analyses de vulnérabilités internes et externes afin d’identifier les systèmes non conformes aux normes définies, puis déployez des correctifs sur ces systèmes.
◆ Mettez en œuvre un processus d’exception pour le suivi des logiciels
« spéciaux » et les utilisateurs dotés de privilèges élevés.
Pour télécharger le rapport GTIR, rendez-vous sur www.nttcomsecurity.com/fr
