Ces dernières années, nous nous sommes relativement habitués aux avis et rapports conjoints sur les problèmes urgents de cybersécurité publiés par le monde Alliance des Cinq Yeux (NCSC, Australie, Canada, Nouvelle-Zélande et États-Unis). En février de cette année, par exemple, l'Alliance a mis en garde contre les pirates informatiques russes en utilisant des « tactiques évolutives » pour cibler les réseaux basés sur le cloud. Les initiatives intergouvernementales sont idéales pour avertir les entreprises des nouvelles tactiques employées par les cybercriminels, informer le public et le protéger contre l'évolution des menaces, et améliorer l'efficacité et les capacités de réponse dans la lutte contre la cybercriminalité.
Dans mes précédents Hacker Headspaces, j'ai parlé de l'importance de la collaboration entre les pays et les gouvernements en matière de cyber-résilience. Cette semaine, je vais explorer les récents Avis de la Five Eyes Alliance sur l'évolution croissante du nombre d'attaquants exploitant les vulnérabilités de type « jour zéro ». Les détails de cet avis ont été présentés dans un blog publié le 12 novembre 2024 par le Centre national de cybersécurité (NCSC).
Que dit l'avis ?
L'avis présente une liste partagée des 15 vulnérabilités les plus couramment exploitées en 2023. L'étude a révélé que la majorité des principales vulnérabilités étaient exploitées en mode « zero day », permettant ainsi à des acteurs malveillants de compromettre des cibles plus prioritaires. L'étude de 2023 marque un net changement par rapport aux résultats de 2022, lorsque moins de la moitié de la liste des principales vulnérabilités avait été initialement exploitée en tant que vulnérabilités zero-day.
L'avis « conseille vivement » aux défenseurs des réseaux d'entreprise de « rester vigilants dans leurs processus de gestion des vulnérabilités, notamment en appliquant toutes les mises à jour de sécurité en temps opportun et en s'assurant d'avoir identifié tous les actifs de leurs actifs ». Il invite également les fournisseurs de technologies et les développeurs à suivre les conseils sur la mise en œuvre précoce des principes de sécurité dès la conception dans leurs produits afin de réduire le risque que des vulnérabilités soient introduites à la source et exploitées ultérieurement.
Pourquoi est-ce important ?
Ces résultats sont significatifs et montrent comment les cybercriminels adaptent leurs tactiques pour un impact maximal. Il s'agit de l'un des nombreux changements opérés par les pirates informatiques au cours des dernières années, reflétant l'évolution généralisée des produits technologiques en général. Ce changement, décrit dans le blog, est particulièrement important car il est peu probable que des correctifs soient facilement disponibles pour les jours zéro.
Cette tendance affecte notamment de manière exponentielle les appareils périphériques, tels que les pare-feux. Les appareils périphériques se trouvent aux périmètres du réseau, le plus près de l'endroit où les données sont générées ou consommées. Les pare-feux, par exemple, sont souvent utilisés par les organisations pour leur cyberprotection. Ils sécurisent le périmètre du réseau et empêchent tout accès non autorisé. Ces appareils, souvent de niveau professionnel, fournissent certaines couches de protection, mais peuvent également présenter des vulnérabilités, qui peuvent mettre en danger les données d'une organisation en cas d'exploitation.
Mais qu'est-ce que cela signifie pour la communauté ?
Les fournisseurs doivent en prendre note. Quel que soit le changement de tactique des cybercriminels, les fournisseurs doivent revenir à la table à dessin, évaluer les produits en fonction des risques et reconsidérer leurs approches en matière de cybersécurité en général. Le problème est aujourd'hui que les criminels ciblent d'anciennes vulnérabilités non corrigées et exploitent des vulnérabilités de type « jour zéro ». Les grands fournisseurs, en particulier, ont une responsabilité encore plus grande en matière de protection des appareils à toutes les étapes du cycle de vie technologique.
Dans cet avis, Ollie Whitehouse, directeur technique du NCSC, a déclaré : « Pour réduire le risque de compromission, il est essentiel que toutes les organisations restent à l'avant-garde en appliquant rapidement les correctifs et en insistant pour que des produits sécurisés dès la conception soient mis en place sur le marché des technologies. » Une fois de plus, l'initiative de sécurité dès la conception est démontrée comme une nécessité pour lutter contre l'évolution des menaces.
Secure by design est une approche de sécurité qui intègre les considérations de sécurité à chaque phase du cycle de développement d'un produit ou d'un système. Dans cette approche, la sécurité est intégrée dès le début du processus au lieu d'être laissée au second plan. La sécurité devient fondamentale dès sa conception.
Différents gouvernements et agences ont mis en place des cadres volontaires auxquels les organisations peuvent adhérer pour soutenir la construction sécurisée dès la conception, comme le Secure by Design Pledge de la CISA. L'ACDS a été l'un des premiers à soutenir l'engagement de la CISA. Ces initiatives constituent une « référence absolue » en matière de développement sécurisé, mais elles ne sont que volontaires. Les organisations ont la responsabilité de construire en toute sécurité pour rendre leurs produits et, par conséquent, leurs clients plus sûrs.
Gestion des surfaces d'attaque : une solution miracle ?
Cette étude montre qu'il est nécessaire de s'éloigner des grands fournisseurs de technologies et de la protection traditionnelle basée sur un pare-feu. Aujourd'hui, aucun acteur de la chaîne d'approvisionnement technologique n'est à l'abri des cybercriminels. Des systèmes d'authentification et de confiance sont nécessaires à chaque étape du processus, ce qui peut être facilité par la confiance zéro. Cependant, le Zero Trust n'est pas nécessairement accessible aux organisations qui ne disposent pas des ressources adéquates.
D'autre part, la gestion de la surface d'attaque (ASM) est un outil important pour protéger les entreprises contre les vulnérabilités, nouvelles et anciennes. Recherches que nous avons menées plus tôt cette année a révélé que la moitié des professionnels de l'informatique ont reconnu qu'il est probable que certains appareils soient connectés au réseau de leur entreprise dont ils ne sont pas au courant. Ces appareils peuvent ne pas être sécurisés et constituer un bon moyen pour les acteurs malveillants de pénétrer dans un système. Il est inquiétant de constater que 50 % des personnes interrogées ont également déclaré que les appareils non sécurisés de leur réseau constitueraient une menace « très élevée » ou « élevée » pour leur organisation.
L'ASM est absolument essentielle pour pouvoir découvrir et gérer les risques de manière proactive. Les entreprises ne devraient pas compter sur les fournisseurs uniquement pour corriger et sécuriser les produits Edge qu'elles utilisent, tels que les pare-feux. Une solution ASM est un bon moyen de protéger les entreprises contre les vulnérabilités susceptibles de cibler des actifs connus (et inconnus), ainsi que de faciliter la découverte des actifs.
Quelle est la prochaine étape ?
Nous avons besoin de la responsabilité et de la collaboration des grands acteurs de la technologie. Il est essentiel que les organisations prennent note de programmes tels que le Secure by Design Pledge de la CISA et qu'elles se mobilisent dès maintenant pour rendre le monde plus sûr. En attendant, les entreprises peuvent se protéger encore davantage en utilisant des solutions ASM qui découvrent les actifs et surveillent les vulnérabilités connues/exploitables.