Les 10 failles de sécurité les plus utilisées par les hackers en 2014 exploitent des vulnérabilités de codes déployés dans des systèmes depuis parfois des dizaines d’années ! Tel est le principal constat du Cyber Risk Report 2015 publié par HP.
«Un grand nombre de risques de sécurité majeurs sont liés à des failles connues depuis des décennies, qui laissent les organisations inutilement exposées, commente Art Gilliland, Sénior Vice-Président HP Enterprise Security Products. On ne peut plus se contenter de se défendre contre ces vulnérabilités connues en attendant la prochaine solution technologique miracle ! Les organisations doivent plutôt faire usage de tactiques de sécurité fondamentales pour contrer les vulnérabilités connues et, ensuite, éliminer des quantités importantes de risque.»
HP a chiffré que 44% des failles de sécurité connues sont liées à des vulnérabilités identifiées depuis deux à quatre ans. Et estime que la première cause de vulnérabilité est une mauvaise configuration des serveurs -devançant de loin des vulnérabilités comme le manque de confidentialité ou la faible sécurisation des cookies.
Cinq mesures de sécurité à mettre en oeuvre
> Mettre en place une stratégie globale de déploiement des correctifs pour défendre le réseau et s’assurer que les systèmes sont à jour avec les dernières protections de sécurité en date afin de réduire le risque de réussite des attaques.
> Vérifier régulièrement les configurations et multiplier les tests de pénétration effectués à la fois par des équipes internes et externes afin d’identifier d’éventuelles erreurs de configuration avant que les hackers ne les utilisent à mauvais escient.
> Atténuer les risques potentiellement introduits sur le réseau avant l’adoption de nouvelles technologies; se protéger contre les failles de sécurité potentielles en prenant conscience de nouvelles possibilités d’attaque avant qu’elles ne soient exploitées.
> Collaborer et partager les informations afin de mieux comprendre les tactiques des adversaires, constituer une défense plus proactive, renforcer les protections offertes par les solutions de sécurité et créer un environnement global plus sûr.
> Adopter une philosophie d’«acceptation des failles» continue dans le sens où il n’y a pas de solution miracle; mettre en œuvre un ensemble de tactiques complémentaires de sécurité pour assurer la meilleure défense possible.