Le taux de réussite de ITrust lors des audits intrusifs est de 90% (moyenne calculée sur les 5 dernières années sur tout type d’audit intrusif : boite blanche, grise et noire). Ces chiffres sont conformes aux statistiques d’autres auditeurs du secteur.

Ce qui signifie concrètement que 9 fois sur 10 nous pénétrons sur un système d’information à partir d’une faille de sécurité ; depuis une simple connection internet la plupart du temps.
Si nous y arrivons, des pirates, personnes malveillantes ou virus y arrivent aussi.

Tout virus ou attaquant, pour mener à bien sa mission utilise des failles de sécurité dans les systèmes d’information. La faille de sécurité est le fondamental, l’alpha et l’oméga du métier de la sécurité. Sans failles il n’y a pas de risque. Il n’y a pas de possibilité d’être attaqué ou de subir une malveillance. (hormis la faille humaine pour les puristes qui souhaiteraient commenter mon post).
Or chaque jour, de nouvelles failles sont découvertes dans les logiciels ou les serveurs. Notamment en raison des erreurs humaines de développement des applications.

C’est comme une plaie pour le corps humain. Une plaie est un moyen pour un virus de s’introduire dans l’organisme et d’infecter les organes vitaux. Sans plaie, aucune attaque virale n’est possible. En respectant une bonne hygiène du corps (désinfecter la plaie, poser un pansement, éviter de se blesser, se laver les mains régulièrement, …) et donc du système d’information il est possible de réduire de 90%* le niveau de risque. Parce que ce sont les vecteurs d’attaques les plus utilisés par des menaces extérieures ou intérieures à l’entreprise.

Sur les 5 dernières années de missions en sécurité nous avons identifié 10 failles de sécurité qui correspondent à 100% des moyens d’attaques que nous avons utilisés dans nos prestations.

Ce qui veut dire qu’en supprimant ces 10 failles essentielles nous augmentons de manière exponentielle le niveau de sécurité d’un SI.

– Par exemple : chez 96% des clients audités, un mot de passe par défaut permet d’accéder à des ressources confidentielles. Un simple stagiaire y arriverait.

– Autre exemple : une faille de sécurité sous Windows permet à un attaquant de devenir administrateur de la machine à distance parce qu’un patch de correction n’a pas été appliqué par l’infogérant depuis 2 ans.

Respecter une bonne hygiène informatique, c’est notamment:

– supprimer les mots de passe par défaut
– supprimer les protocoles en clair de type telnet, FTP
– corriger et patcher les failles de sécurité journalières
– améliorer les mauvaises configurations DNS, DHCP, …
– vérifier les droits d’en connaître (qui a accès à quelle information)
– vérifier les droits sur les répertoires partagés
– supprimer les transfert de confiance entre domaines windows qui ne devraient pas être actifs
– déconnecter les serveurs à l’abandon et qui ne sont plus entretenus ni mis à jour

Avec ces règles de base, le SI est protégé. C’est ce que fait IKare et c’est pourquoi il est nécessaire de mettre en place des contrôles permanents (tous les jours en raison de l’apparition quotidienne de nouvelles failles à) de ce type sur tout système : de la PME/PMI au grand compte.

D’autres outils de sécurité sont utiles par la suite pour sécuriser des accès particuliers. Souvent nous rencontrons des clients qui empilent des outils de sécurité comme les couches d’un mille feuilles et qui pourtant ont un niveau de sécurité très bas. C’est comme se gaver de médicaments en se disant que ce sera efficace. Hors nous constatons, nous experts, que les règles de base sont souvent négligées. Respecter ces 10 règles de base est bien plus efficace et pertinent que de mettre en place des dizaines d’outils de sécurité.

N’oublions pas les bases…

 

  • Annexe 1 : Références et remarques diverses pour compléter ce sujet et aller plus loin :

Dans le même ordre d’idées : l’ANSSI a édicté un très bon référentiel de bonnes pratiques ici
Le TOP 10 OWASP répertorie les 10 failles de sécurité applicatives les plus importantes ici
Le SANS Institute répertorie 40 contrôles de sécurité de base et le NIST répertorie le TOP20 control Checklist afin d’augmenter sa sécurité : ici
Précédent Post en lien : Comment sécuriser réellement l’informatique d’une PME : ici
Des etudes et experts viennent appuyer cette vision pragmatique de la sécurité :

Herve schauer

Contrôles de base

Selon une enquête menée par Verizon [1] sur les attaques réseau,

La majorité des attaques surviennent encore et toujours parce que des contrôles élémentaires n’ont pas été mis en place ou parce que les contrôles en place n’étaient pas implémentés de façon cohérente pour l’ensemble de l’organisation.

Beaucoup d’organisations définissent des règles et des procédures de sécurité mais négligent de les implémenter avec.

[1] « 2009 Data Breach Investigations

Report », Verizon Business Risk Team

 

  • Annexe 2: Liste du TOP 10 des failles de sécurité
  • Annexe 3 : Comparatif de couverture de ces failles par les outils classiques de sécurité.

 

*précisions concernant « 90 % des failles de sécurité » :
 « 10 types de failles représentent 90% des failles » , à cela s’ajoutent les failles inconnues (0-Days ou non encore découvertes Et les failles humaines. 12 failles correspondent à 100% des problèmes de sécurité pouvant survenir.

Hors utiliser IKare permet de détecter 100% de ces 10 types de failles. Les failles étant corrigées par un expert, 90% des failles sont alors éliminées. Le risque est diminué de 90%. Pour plus de precisions techniques, aller sur www.itrust.fr

 JNP