Explosion des menaces inconnues

Dans son rapport annuel, Check Point relève une explosion des menaces de sécurité inconnues. Et d’appeler à une évolution radicale de l’approche de la protection.

En ouverture de l’édition 2013 de la RSA Conference, Art Coviello, président exécutif de RSA, insistait sur le besoin de systèmes de sécurité adaptatif, capables de réagir non pas seulement aux menaces « inconnues connues » qu’il est envisageable d’anticiper, mais également aux menaces « inconnues inconnues », fruits d’efforts défiant l’imagination de ceux chargés de la protection des systèmes d’information. Et le temps semble lui donner raison. Dans l’édition 2014 de son rapport sur l’état de la sécurité information, Check Point Software souligne « l’explosion des logiciels malveillants inconnus. » Et d’expliquer que « les technologies de sécurité traditionnelles telles que les anti-virus et les systèmes de prévention des intrusions sont le plus efficaces dans la détection de tentatives d’exploitation de vulnérabilités de logiciels et de configurations connues […] Les pirates comprennent cela et ont le luxe de tester leurs nouveaux logiciels malveillants et exploits contre ces technologies pour vérifier s’ils sont détecter. » Par ailleurs, selon Check Point, « créer des logiciels malveillants inconnus est si facile qu’un enfant pourrait le faire. »

De quoi comprendre pourquoi l’éditeur a dénombré rien moins que 83 millions de nouveaux logiciels malveillants en 2013, contre 34 millions en 2012, soit une progression de 144 %. Pour cela, les attaquants « ont employé des mécanismes automatisés pour créer des logiciels malveillants évasifs, inconnus, à grande échelle » face à des défenseurs se contentant largement de « processus d’investigation et de réponse manuels » trop lents et peu efficaces face à de tels volumes. Et afin de s’assurer d’une certaine discrétion, les pirates ont largement eu recours à des fichiers PDF malicieux - 35 % des vecteurs d’infection « inconnus », contre 33 % pour des exécutables et 27 % pour des archives. Le tout mâtiné de capacités de dissimulation avancées et industrialisées. Bref, pour Check Point, l’émulation et la mise en bac à sable (sandboxing) apparaissent désormais comme les compléments indispensables des outils de protection traditionnels.

Une fréquence d’exposition explosive

Et si l’on en croît les chiffres de l’éditeur, il y a urgence. Selon lui, un logiciel malveillant a été téléchargé au moins toutes les 2 heures dans 58 % des organisations, en 2013, contre 14 % en 2012. Et les terminaux des utilisateurs semblent particulièrement mal préparés : 33 %  d’entre eux ne disposaient toujours pas, l’an passé, de versions à jour d’Adobe Reader, Flash Player, Java ou encore Internet Explorer. Et 14 % ne bénéficiaient pas encore du plus récent Service Pack. Quant à 18 % d’entre eux, ils ne disposaient pas de signatures virales à jour. Mais quoi qu’il en soit, l’utilisateur final reste un maillon faible susceptible de se faire leurrer aisément et, surtout, de transférer des messages malicieux à son entourage. Au final, ce sont rien moins que 47 % des organisations qui abritaient en 2013 au moins 7 hôtes infectées par un bot.

Des applications dangereuses

Ce qu’il convient désormais d’appeler le « shadow IT » n’est pas oublié par Check Point. L’éditeur souligne ainsi la présence, dans les environnements d’entreprises, d’application certes pratiques mais non exemptes d’un certain risque, largement déployées, parfois - sinon souvent - sans l’assentiment de la DSI. Et selon lui, une large majorité des organisations seraient concernées. En particulier, 90 % d’entre elles seraient dotée, parfois donc à leur insu, d’outils d’administration à distance tels que LogMeIn. Et les outils de partage de fichiers tels que Dropbox seraient déployés dans 86 % des organisations. Un Dropbox qui arrive loin devant OneDrive de Microsoft, Hightail, ou encore SugarSync. Et pour autant, des données sensibles fuitent d’organisations toutes les 49 minutes en moyenne avec, en priorité et dans l’ordre, du code source, des données de cartes de paiement, des enregistrements commerciaux, ou encore des données personnelles.

La sécurité à définition logicielle

Comme pour revenant aux propos d’Art Coviello, Check Point estime que l’évolution des menaces commande de conduire la sécurité vers un nouveau « paradigme », celui de la définition logicielle. Pour une adaptabilité maximale. Notamment parce que « l’explosion des logiciels malveillants inconnus rend rapidement obsolètes les solutions ne reposant que sur la détection » des menaces d’un type connu. Une approche sans surprise multi-couches recouvrant application des politiques de sécurité, contrôle de la conformité à celles-ci, et administration.

Pour son étude, Check Point s’est basé sur les événements de sécurité remontés par plus de 9 000 passerelles déployées chez ses clients dans le monde entier, avec en moyenne 216 heures de trafic réseau supervisé par organisation. Près de la moitié d’entre elles figurant dans la région Europe/Moyen-Orient/Afrique. Les données relatives aux logiciels malveillants inconnus sont issues de données remontées par les sondes Check Point Emulation, entre juin et décembre derniers.

Pour approfondir sur Menaces, Ransomwares, DDoS

Close