Publié le 28/08/2018 Dans Press Releases
Le texte suivant est issu d'un communiqué de presse et ne reflète en rien l'opinion de la rédaction.
Utrecht, le 28 août 2018 – Dans 86% des entreprises analysées les chercheurs de Kaspersky Lab ont réussi à obtenir les privilèges les plus hauts des réseaux internes. Près de trois-quarts (73%) des tests de pénétration réussis sur des réseaux d’entreprises sont provoqués par des applications Web vulnérables. C’est ce qui ressort du rapport d’enquête « Security assessment of corporate information systems in 2017 ». Une enquête que Kaspersky Lab publie chaque année pour donner aux organisations une idée des vulnérabilités possibles dans leurs réseaux, afin d’éviter des dommages en termes de finances, de fonctionnement et de réputation. Le département Security Services de Kaspersky Lab y joint tous les scénarios d’attaques possibles. L’enquête est menée auprès d’organisations en Europe (22%), APAC (4%), META (57%) et CIS (17%). 35% des organisations provenaient du secteur financier, 31% du secteur public, 9% du secteur des télécoms, 4% du secteur de l’e-commerce et de la production, et 17% d’autres secteurs.
Autre fait saillant des résultats d’enquête : le niveau de protection général contre les cyber-attaques est qualifié de faible ou extrêmement faible pour 43% des entreprises analysées. Une manière fréquente d’intrusion non souhaitée dans le réseau de l’entreprise a consisté dans une attaque d’interfaces de gestion disponibles publiquement avec des données de connexion faibles ou standard. Dans 29% des projets de test de pénétration externe, les experts de Kaspersky Lab sont parvenus à obtenir les droits d’accès les plus élevés au sein de l’ensemble de l’infrastructure informatique, y compris l’accès de niveau administrateur aux principaux systèmes de l’entreprise, aux serveurs, aux équipements réseau et aux postes de travail de collaborateurs. Les experts de Kaspersky Lab se sont comportés comme des « pirates éthiques » sans la moindre forme de connaissance des organisations vulnérables pourtant actives sur Internet.
À la surprise des chercheurs, la sécurité des informations de réseaux professionnels internes est encore moins bonne. Le niveau de protection contre des auteurs d’attaque interne a été identifié comme faible ou extrêmement faible pour 93% de toutes les entreprises analysées. Dans 86% des sociétés analysées, les privilèges les plus élevés dans le réseau interne ont pu être obtenus ; et dans 42% de celles-ci, des attaques en deux étapes à peine ont suffi pour y parvenir. En moyenne, deux à trois vecteurs d’attaque ont été identifiés, avec lesquels les droits d’accès les plus élevés ont pu être obtenus dans chaque projet. Dès que des cybercriminels disposent de ces droits, ils peuvent prendre le contrôle total de l’ensemble du réseau de l’entreprise, y compris des systèmes critiques.
Les administrations publiques sont les plus vulnérables
La tristement célèbre vulnérabilité MS17-010 a été utilisée à grande échelle tant dans des attaques individuelles ciblées qu’avec des rançongiciels comme WannaCry et NotPetya/ExPetr. Elle a été rencontrée dans 75% des entreprises qui ont subi des tests de pénétration internes après la publication d’informations sur la vulnérabilité. Certaines organisations n’avaient pas mis à jour leurs systèmes Windows. Et ce même jusqu’à huit mois après la sortie des mises à jour correctives. Dans 86% des organisations analysées, des logiciels obsolètes ont été trouvés dans le périmètre réseau.
Selon cette même enquête, la principale vulnérabilité se situe au niveau des applications Web d’administrations publiques. Des vulnérabilités présentant des risques élevés ont été découvertes dans chaque application analysée. En revanche, les applications d’e-commerce semblent nettement mieux protégées contre toute cybercriminalité éventuelle. Seul un peu plus d’un quart des applications commerciales analysées comportaient des vulnérabilités affichant un risque élevé. Les applications d’e-commerce figurent ainsi parmi les applications les mieux protégées.
“De nombreuses organisations sont une proie facile pour les cybercriminels en raison de l’absence de mise en œuvre de processus de sécurité informatique de base. La mise en œuvre de mesures de sécurité simples, comme des filtres réseau et une politique de mots de passe efficace pourrait améliorer considérablement la politique de sécurité de nombreuses organisations. Ainsi, par exemple, la moitié des incidents de cybersécurité peuvent être évités en limitant l’accès pour les utilisateurs finals à des interfaces de gestion,” explique Harco Enting, General Manager de Kaspersky Lab Benelux.
Kaspersky Lab conseille aux organisations d’accorder davantage d’attention à la sécurité des applications Web, avec des mises à jour en temps utile de logiciels vulnérables, la sécurité par mots de passe et des règles de pare-feu plus claires. En outre, les organisations ont intérêt à effectuer régulièrement des évaluations de sécurité de l’ensemble de leur infrastructure informatique. Les incidents de sécurité doivent être détectés le plus tôt possible afin d’y réagir rapidement, pour limiter autant que possible les dommages causés. Enfin, Kaspersky Lab conseille aux organisations de se soumettre à un test dit de « Red Teaming ». Ce type d’évaluation donne à l’entreprise une idée du niveau de sécurité de l’ensemble de son infrastructure informatique et des formations adéquates peuvent ensuite être mises en place pour permettre aux collaborateurs d’identifier des attaques et d’y réagir de manière efficace.
Autre fait saillant des résultats d’enquête : le niveau de protection général contre les cyber-attaques est qualifié de faible ou extrêmement faible pour 43% des entreprises analysées. Une manière fréquente d’intrusion non souhaitée dans le réseau de l’entreprise a consisté dans une attaque d’interfaces de gestion disponibles publiquement avec des données de connexion faibles ou standard. Dans 29% des projets de test de pénétration externe, les experts de Kaspersky Lab sont parvenus à obtenir les droits d’accès les plus élevés au sein de l’ensemble de l’infrastructure informatique, y compris l’accès de niveau administrateur aux principaux systèmes de l’entreprise, aux serveurs, aux équipements réseau et aux postes de travail de collaborateurs. Les experts de Kaspersky Lab se sont comportés comme des « pirates éthiques » sans la moindre forme de connaissance des organisations vulnérables pourtant actives sur Internet.
À la surprise des chercheurs, la sécurité des informations de réseaux professionnels internes est encore moins bonne. Le niveau de protection contre des auteurs d’attaque interne a été identifié comme faible ou extrêmement faible pour 93% de toutes les entreprises analysées. Dans 86% des sociétés analysées, les privilèges les plus élevés dans le réseau interne ont pu être obtenus ; et dans 42% de celles-ci, des attaques en deux étapes à peine ont suffi pour y parvenir. En moyenne, deux à trois vecteurs d’attaque ont été identifiés, avec lesquels les droits d’accès les plus élevés ont pu être obtenus dans chaque projet. Dès que des cybercriminels disposent de ces droits, ils peuvent prendre le contrôle total de l’ensemble du réseau de l’entreprise, y compris des systèmes critiques.
Les administrations publiques sont les plus vulnérables
La tristement célèbre vulnérabilité MS17-010 a été utilisée à grande échelle tant dans des attaques individuelles ciblées qu’avec des rançongiciels comme WannaCry et NotPetya/ExPetr. Elle a été rencontrée dans 75% des entreprises qui ont subi des tests de pénétration internes après la publication d’informations sur la vulnérabilité. Certaines organisations n’avaient pas mis à jour leurs systèmes Windows. Et ce même jusqu’à huit mois après la sortie des mises à jour correctives. Dans 86% des organisations analysées, des logiciels obsolètes ont été trouvés dans le périmètre réseau.
Selon cette même enquête, la principale vulnérabilité se situe au niveau des applications Web d’administrations publiques. Des vulnérabilités présentant des risques élevés ont été découvertes dans chaque application analysée. En revanche, les applications d’e-commerce semblent nettement mieux protégées contre toute cybercriminalité éventuelle. Seul un peu plus d’un quart des applications commerciales analysées comportaient des vulnérabilités affichant un risque élevé. Les applications d’e-commerce figurent ainsi parmi les applications les mieux protégées.
“De nombreuses organisations sont une proie facile pour les cybercriminels en raison de l’absence de mise en œuvre de processus de sécurité informatique de base. La mise en œuvre de mesures de sécurité simples, comme des filtres réseau et une politique de mots de passe efficace pourrait améliorer considérablement la politique de sécurité de nombreuses organisations. Ainsi, par exemple, la moitié des incidents de cybersécurité peuvent être évités en limitant l’accès pour les utilisateurs finals à des interfaces de gestion,” explique Harco Enting, General Manager de Kaspersky Lab Benelux.
Kaspersky Lab conseille aux organisations d’accorder davantage d’attention à la sécurité des applications Web, avec des mises à jour en temps utile de logiciels vulnérables, la sécurité par mots de passe et des règles de pare-feu plus claires. En outre, les organisations ont intérêt à effectuer régulièrement des évaluations de sécurité de l’ensemble de leur infrastructure informatique. Les incidents de sécurité doivent être détectés le plus tôt possible afin d’y réagir rapidement, pour limiter autant que possible les dommages causés. Enfin, Kaspersky Lab conseille aux organisations de se soumettre à un test dit de « Red Teaming ». Ce type d’évaluation donne à l’entreprise une idée du niveau de sécurité de l’ensemble de son infrastructure informatique et des formations adéquates peuvent ensuite être mises en place pour permettre aux collaborateurs d’identifier des attaques et d’y réagir de manière efficace.