Etude : les entreprises s'inquiètent des APT, mais restent sans protection

Bien que les professionnels du monde de l'IT et de la sécurité redoutent les attaques ciblées visant leurs entreprises, beaucoup d'entre eux peinent encore à déployer des mesures de sécurité capables de les protéger. C'est l'une des conclusions d'une nouvelle étude menée par Bit9, une éditeur notamment spécialisé dans la détection de malwares,  basé à Waltham, dans le Massachussets.

Dans son étude  Endpoint Security Survey, Bit9 a interrogé 765 responsables de la sécurité IT aux Etats-Unis, au Canada et en Europe. Plus de la moitié des répondants (60%) affirment que leur principale préoccupation est d'être attaqué par des cybercriminels, utilisant des techniques semblables à celles utilisées dans l'affaire RSA et le vol de SecurID. Les menaces qui viennent de l'intérieur sont citées en seconde position.

"Avec tous les piratages qui ont trusté l'actualité cette année, notamment celui de Sony qui a impacté des millions d'utilisateurs - et est considéré comme la plus importante faille jamais rencontrée - il est intéressant de constater que la méthode de hacking dont se soucient le plus les responsables - et de loin - est celle des attaques APT [Advanced persistent threat, NDLR], explique Dan Brown, directeur de recherche en sécurité chez Bit9. Cela démontre que les ATP sont désormais prises au sérieux et met en lumière l'ampleur des dégâts qu'elles peuvent causer aux entreprises et aux agences gouvernementales."
Bien que les professionnels de la sécurité affirment être davantage soucieux des attaques ciblées, 50% des entreprises répondantes déclarent se reposer sur un système d'auto-surveillance, pour que leurs employés suivent des règles écrites de contrôle et de prévention de logiciels non autorisés, au lieu de les faire appliquer à la lettre. L'étude montre également que 51% des entreprises autorisent leurs employés à télécharger et installer des applications.

Brown explique qu'il ne s'agit pas là d'un moyen efficace de protection contre le téléchargement. "En fait, les entreprises nous expliquent qu'elles s'inquiètent de voir leur porte d'entrée fracturée, mais elles n'ont pas pris le temps de la verrouiller non plus", ironise-t-il.

Dans l'histoire de RSA, les pirates ont utilisé une attaque de type phishing auprès d'employés de la société - un email qui imitait l'adresse d'un collègue de travail. L'attaque a piègé au moins un employé qui a ouvert une pièce jointe, déclenchant un malware qui exploitait une faille zero-day dans le lecteur Adobe Flash.

"Normalement, lorsqu'on parle de piratage ou de faille de sécurité, on évoque des méthodes élaborées, digne d'un film de James Bond, mettant en scène le cassage de codes chiffrés, le piratage de scans rétiniens et d'empreintes digitales ou d'autres méthodes très élaborées", raconte Brown. La faille RSA repose quant à elle sur un plan d'attaque très simple, qui cache un scam perfectionné. Elle montre également aux responsables sécurité la nécessité de protéger chaque terminal. Au risque d'être la prochaine entreprise hackée."

Quelque 19% des entreprises sondées affirment que leur réseau a déjà connu un plantage, provoqué par un usage inhabituel d'un logiciel installé sur un terminal de l'entreprise. Pour 89% des répondants, ce plantage aura duré moins de deux heures, alors que 13% évoquent une interruption de service supérieure à un jour de travail.

Si, selon Brown, toutes les entreprises ne seront pas victimes d'attaques malicieuses, chacune devraient tout de même user de précautions. Et selon l'étude, elles ne sont qu'une minorité à le faire. Ainsi, 74% des entreprises interrogées autorisent le téléchargement de logiciels après approbation, alors que pour 17%, le téléchargement est autorisé sans autre condition.

De plus, 79% des répondants affirment que leur entreprise laisse les employés connectés leurs appareils mobiles, tels que les clés USB, à leur poste de travail.

Alors, quel moyen de défense ces entreprises devraient-elle adopter ? Pour Brown, pratiquer une superposition des moyens de protection ou opérer une défense en profondeur constituerait une réponse. "C'est certes le b-a-ba, mais les responsables sécurité doivent savoir qu'il existe des attaques d'un nouveau genre ainsi que de nouvelles méthodes. Ils doivent s'en protéger en mettant en place de nouvelles couches de sécurité."

Traduit de l'anglais par la rédaction