En France, 96 % des directeurs des systèmes d’information (DSI) risquent d’être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces. C’est le constat que dresse l’étude qui vient d’être effectuée auprès de 100 DSI de grands comptes français par le cabinet d’analyse Vanson Bourne pour le compte de Venafi, l’éditeur à l’origine du concept de »système immunitaire pour Internet ». Lequel met en cause la défaillance des outils fondamentaux de la cybersécurité, c’est-à-dire les clés cryptographiques et les certificats numériques qui ne seraient actuellement, pas suffisamment, voire pas du tout protégés.
Depuis quelques années, les entreprises ont investit dans des dizaines de milliers de clés et de certificats numériques. Lesquels étaient supposés poser les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud. L’objectif étant de contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels. Depuis, les clés et certificats sont devenus la condition sine qua none à toute activité du net (banque en ligne, Internet des objets, applications mobiles etc) nécessitant une connexion fiable et sécurisée. « Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés », commente Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi.
Le danger, c’est donc que les cyberpirates détournent les clés et certificats sans protection afin de se dissimuler dans le trafic crypté. « Si la France dispose de l’une des approches les plus évoluées au monde en matière de cybersécurité, elle se classe également parmi les 10 pays où la cybercriminalité fait rage. Dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés, les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles », poursuit l’expert. Il faut dire que pour 9 DSI interrogés sur 10, ces outils sont en passe de représenter un marché extrêmement lucratif pour les pirates. Pas étonnant, lorsqu’on apprend qu’il est possible de dégoter un certificat dérobé sur le marché noir, pour une somme de 1.000 dollars…
Ironie du sort : les responsables de la sécurité informatique vouent encore aujourd’hui une confiance aveugle en ces outils. Pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusion, prévention des pertes de données… Les technologies déployées pour protéger les postes de travail et les systèmes d’information contre les menaces avancées sont pourtant imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Résultat, ces outils se révèlent incapables de passer au crible la grande majorité du trafic réseau crypté. Des failles béantes apparaissent dans les mécanismes de défense des entreprises. Du coup, les cybercriminels mettent à profit ces angles morts dans les systèmes de sécurité : ils se servent de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles.
Incapables d’analyser le trafic de données dans un réseau crypté et de déceler les futures attaques, les DSI interrogés dans l’étude se sentent non seulement démunis mais aussi extrêmement pessimistes vis-à-vis de l’avenir. Ainsi 90% d’entre eux se tiennent sur le qui-vive, s’attendant à n’importe quel moment, à essuyer une attaque dissimulée dans le trafic crypté. Ce qu’il faut savoir, c’est que les risques liés à des clés et certificats sans protection échappent désormais à tout contrôle, se multipliant à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle que les grandes entreprises possèdent, en moyenne, plus de 23.000 clés et certificats et que 54% des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. Les DSI craignent que la multiplication des clés et certificats n’aggrave encore cette situation.
« Progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pis, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP (protection contre les fuites de données, NDLR) et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans l’illusion. Cette étude indique que les DSI, en France, sont désormais conscients de dilapider des fortunes dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques », illustre le spécialiste.
A cet égard, Gartner fait figure de Cassandre. En effet, le prestigieux cabinet d’analyse prévoit que, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront le trafic crypté pour esquiver les contrôles. Ce sont donc leurs armes de défense elles-mêmes qui rendront les entreprises encore plus vulnérables ! « Sachant que le marché mondial de la sécurité des systèmes d’information pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel », s’inquiète Kevin Bocek.
Autre phénomène inquiétant : le mouvement du « DevOps », qui consiste à rendre agiles les équipes de développement informatique, accroît encore davantage la vulnérabilité des entreprises. Via l’activation et la désactivation de services en fonction de l’élasticité des besoins, l’accélération des développements d’applications fera progresser le nombre de clés et de certificats en proportion. Pour 79% des DSI, la rapidité de progression du mouvement « DevOps » complique l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises.
« D’ici 2017, Gartner prévoit que trois entreprises sur quatre évolueront vers une structure informatique bimodale : le premier modèle accompagnera les applications en place en quête de stabilité. Le second dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité, poursuit Kevin Bocek. Pourtant, le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique. Dans ces nouveaux environnements, la sécurité sera toujours mise à mal et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas. »
« C’est la raison pour laquelle il nous faut un système immunitaire pour Internet, conclut Kevin Bocek. Comme chez l’homme, ce système donne aux entreprises les moyens de détecter instantanément les clés et certificats dignes de confiance des autres. Et, à partir du moment où la confiance en ces clés et certificats renaît, la valeur accordée aux autres investissements réalisés par l’entreprise dans le domaine de la sécurité augmente. »
Ségolène Kahn
Commentez