Les DSI français admettent investir des millions à fonds perdus dans une cybersécurité qui se révèle inopérante sur la moitié des attaques. Une nouvelle étude indique que 96 % des DSI, en France, s’attendent à être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces.
Une étude, menée par Vanson Bourne auprès de 100 DSI en France, portant sur la fréquence et l’incidence d’une sécurité informatique inefficace indique que les Directeurs des Services Informatiques s’attendent à être la cible d’attaques. Ces décideurs informatiques sont unanimes : ils estiment que les fondements de la cybersécurité – clés cryptographiques et certificats numériques – n’étant actuellement aucunement protégés, les entreprises sont dans l’ignorance, en proie au chaos, et incapables de se défendre.
Les DSI, en France, reconnaissent gaspiller plusieurs millions de dollars dans la superposition de mécanismes de défense puisque ces outils vouent une confiance aveugle aux clés et aux certificats – et se révèlent incapables de différencier ceux dignes de confiance des autres. Si l’on se réfère aux prévisions de Gartner, qui estime que 50 % des attaques réseau cibleront le protocole SSL/TLS, cela signifie que des systèmes de sécurité aussi répandus que FireEye ne seront opérants que la moitié du temps. Et les DSI français admettent que ce chaos met en péril leurs projets des plus stratégiques, à savoir ériger des structures informatiques agiles autour du concept DevOps.
Etre la cible d’attaques
- 90 % des DSI, en France, sont convaincus de l’inefficacité de leurs mécanismes de défense puisque ceux-ci sont incapables d’analyser le trafic réseau crypté pour y déceler d’éventuelles attaques.
- 96 % des DSI, en France, ont déjà essuyé ou s’attendent à essuyer une attaque dissimulée dans du trafic crypté.
- 91 % des DSI, en France, estiment que les clés de cryptage et certificats numériques dérobés sont en passe de représenter un marché extrêmement lucratif pour les pirates.
- 79 % des DSI, en France, conviennent que leur stratégie d’accélération de l’informatique et de l’innovation est en danger car leurs initiatives introduisent des vulnérabilités nouvelles.
Les entreprises s’en remettent à des dizaines de milliers de clés et de certificats qui posent les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud. Cette technologie a été adoptée pour contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels. Depuis la banque en ligne jusqu’à l’Internet des objets en passant par la sécurisation des applications et les applications mobiles, tout ce qui est basé sur IP dépend d’une clé et d’un certificat pour établir une connexion fiable et sécurisée. Sauf que des cybercriminels détournent actuellement des clés et certificats sans protection pour se dissimuler dans du trafic crypté, créer de faux sites web, déployer des logiciels malveillants, élever leurs privilèges et dérober des données.
Les technologies déployées – protection des postes de travail, protection contre les menaces avancées, pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusions et prévention des pertes de données (DLP) – sont foncièrement imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Résultat, ces outils se révèlent incapables de passer au crible la grande majorité du trafic réseau crypté. D’où des failles béantes dans les mécanismes de défense des entreprises. Les cybercriminels mettent à profit ces angles morts dans le domaine de la sécurité : ils se servent de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles de sécurité.
« Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés », commente Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi. « Si la France dispose de l’une des approches les plus évoluées au monde en matière de cybersécurité, elle se classe également parmi les 10 pays où la cybercriminalité fait rage : les entreprises françaises courent donc davantage de risques. Dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés, les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles. »
« Progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pire, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans une illusion de sécurité. Cette étude indique que les DSI, en France, sont désormais conscients de dilapider des millions dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques. Selon les prévisions de Gartner, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront du trafic crypté pour esquiver les contrôles ; ces technologies sont sans défense face à elles ! Sachant que le marché mondial de la sécurité des entreprises pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel. »
« Et les marchés expriment clairement leur manque de confiance dans la cybersécurité. Ce n’est pas une coïncidence si 96 % des DSI admettent dilapider des milliards dans une cybersécurité inadéquate et si le fonds spéculatif HACK, spécialisé dans ce domaine, a perdu 25 % depuis novembre 2015. Des résultats bien en-deçà de l’indice S&P500 qui, lui, s’inscrit en repli de 10 % du fait des turbulences sur les marchés. »
Les risques liés à des clés et certificats sans protection, échappant à tout contrôle, se multiplient à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle qu’en moyenne, une entreprise possède plus de 23 000 clés et certificats, et que 54 % des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. Les DSI craignent que la multiplication des clés et certificats à l’appui des nouvelles initiatives informatiques n’aggrave encore la situation.
La cible d’attaques : trop de clés et certificats
À la lumière des initiatives de cryptage systématique (« Encryption Everywhere »), apparues dans le sillage des révélations d’Edward Snowden et des opérations d’espionnage de la NSA, la quasi-totalité des DSI français (97 %) se disent préoccupés par la marche à suivre pour sécuriser la gestion et la protection de l’ensemble des certificats et clés de cryptage. Car à mesure que l’informatique s’accélèrera – via l’activation et la désactivation de services en fonction de l’élasticité des besoins – le nombre de clés et de certificats progressera en proportion. À la question de savoir si la rapidité de progression du mouvement « DevOps » complique encore l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises, les DSI, en France, affirment à 79 % que c’est le cas.
« Gartner prévoit que d’ici à 2017, trois entreprises sur quatre évolueront vers une structure informatique bimodale avec une informatique à deux axes et deux vitesses : l’une qui accompagnera les applications en place en quête de stabilité, l’autre qui dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité », poursuit Kevin Bocek. « Pourtant, le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique. Dans ces nouveaux environnements, la sécurité sera toujours mise à mal, et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas. »
« Raison pour laquelle il nous faut un système immunitaire pour Internet », conclut Kevin Bocek. « Comme chez l’homme, ce système donne aux entreprises les moyens de détecter instantanément les clés et certificats dignes de confiance des autres. Et, à partir du moment où la confiance en ces clés et certificats renaît, la valeur accordée aux autres investissements réalisés par l’entreprise dans le domaine de la sécurité augmente. »
Cette étude a été réalisée par le cabinet d’études de marché indépendant Vanson Bourne qui a interrogé 100 DSI au total, en poste dans de grandes entreprises en France.