Le dernier rapport annuel de sécurité de Cisco a révélé de nouvelles tendances sur l'exploitation des failles dans les logiciels couramment utilisés dans les entreprises. Cisco retient que les utilisateurs, les chefs de sécurité (CSO) et les équipes de sécurité ont tous une part de responsabilité importante dans l'exposition de l'entreprise. Il souligne aussi qu'il y a encore beaucoup de logiciels non patchés, de nouvelles tactiques sont utilisées par les attaquants pour répondre aux mesures de protection de leurs cibles.
L'entreprise note également que les logiciels malveillants porteurs de spams ont augmenté jusqu'à 250% entre Janvier et Novembre 2014, et beaucoup plus de messages se glissaient à travers les filtres. Plutôt que de se laisser rapidement prendre par des filtres de spam et autres, les attaquants sélectionnent un grand nombre d'hôtes compromis qui envoient que de faibles volumes de spam sur une base par hôte.
En ce qui concerne les logiciels vecteurs d'attaques, les pirates ont de moins en moins exploité les failles de sécurité dans Java au cours de l'année 2014 - une seule vulnérabilité Java fait partie du Top 10 des vecteurs d'attaque de la liste de Cisco.
L'exploitation de Java a été en baisse grâce à de meilleurs correctifs de sécurité automatiques sur les versions modernes de Java, mais aussi au fait que les attaquants ont essayé de nouvelles choses, selon Cisco.
Les bugs de Heartbleed et Shellshock ont été les plus exploités de la liste de Cisco. Flash et Internet Explorer sont aussi des cibles populaires, mais il y a un intérêt croissant pour Apache Struts Framework, et les attaques de Silverlight ont augmenté de 200% sur l'année, selon le rapport.
Cisco a aussi fait remarquer que seulement 1% des bugs signalés ont été exploités.
Interrogé par un média pour obtenir des explications sur ces chiffres, Anthony Stitt de Cisco a mis en avant la responsabilité des personnes et des navigateurs dans l'exposition de l'entreprise aux menaces cybernétiques.
Stitt a mis en évidence un « écart entre le niveau de confort entre les chefs de sécurité et les équipes de sécurité au sujet de leur niveau de protection, » a-t-il dit. Selon lui, les CSO sont sujets à l'excès de confiance, ce qui implique qu'il y a un déficit d'information entre le patron et le l'équipe. Il devrait y avoir plus de transparence entre l'équipe et le CSO au sujet de leur sécurité opérationnelle.
Il soulève aussi la question des navigateurs non patchés. Environ 64% de l'activité de navigation observée par Cisco sur Chrome est venue de navigateurs patchés, alors que de l'autre extrémité de l'échelle, seulement 10% de la navigation sur IE est venue de navigateurs patchés. « Donc, dans 90% des transactions d'IE, il y aurait un certain niveau d'insécurité », a-t-il dit.
Il pense cependant que l'éternel problème en entreprise est l'utilisateur qui a tendance à cliquer sur les liens sur lesquels il ne devrait pas cliquer. Même si la sensibilisation est nécessaire, Stitt pense qu'elle n'est pas une solution complète. Etant donné que seulement 1% des bugs signalés sont exploités, il suggère aux équipes de sécurité d’ « aller vers les experts en sécurité pour voir lesquelles des vulnérabilités sont exploitées » et les corriger en priorité.
Source : Rapport annuel de sécurité de Cisco
Et vous ?
Qu’en pensez-vous ?
Un pour cent des bugs signalés ont été exploités, Silverlight et Apache de plus en plus visés par les pirates
Selon le rapport de sécurité de Cisco
Un pour cent des bugs signalés ont été exploités, Silverlight et Apache de plus en plus visés par les pirates
Selon le rapport de sécurité de Cisco
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !