Il y a des idées reçues dans tous les domaines. Le domaine de la sécurité informatique ne fait pas exception à la règle.
Nous proposons dans cet article de revoir quelques mythes assez surprenant.
Idée reçue #1 : « Je ne me préoccupe pas de sécurité étant donné que ma société n’est pas connue. Nous travaillons dans un domaine où il y a peu d’informations intéressantes pour les hackers ».
Cela peut paraître tout à fait pertinent. Pourtant dès que vous êtes visible sur la toile, un hacker peut s’intéresser à vous et essayer d’en tirer profit à vos dépens.
En réalité, les hackers, dans la majorité des cas, se fichent des informations collectées. Leur but est de tester leurs compétences et de trouver des vulnérabilités et failles à exploiter dans le but d’accéder à des données internes. Ils s’en prennent donc à des cibles aléatoires.
Ce manque de considération est dangereux en soi. La confiance en l’absence de menaces amène forcément à la négligence. Pourquoi patcher ou mettre à jour une application si celle-ci fonctionne ? ou pourquoi patcher si l’éditeur annonce la correction de la vulnérabilité dans une future version ?
Nous pouvons poursuivre encore longtemps jusqu’à ce qu’un incident arrive. A partir de là, cette absence de considération montre alors ces limites.
Idée reçue #2 : « Les cybercriminels préfèrent attaquer de grandes entreprises plutôt que de petites sociétés insignifiantes ».
Ceci est faux ! Comme expliqué plus haut, les hackers vont choisir leurs victimes au hasard en scannant des réseaux dans le but de trouver de potentiels points d’entrée. Les grandes entreprises ont réalisé, qu’en soi, elles peuvent davantage attirer l’attention des hackers, ce qui les rend très attentives à la protection de leurs réseaux et de leurs données.
Alors que les petites sociétés espèrent passer inaperçues et feront donc l’impasse sur des protections pourtant basiques. Les hackers ont bien compris cette mentalité et vont avoir tendance à attaquer de plus en plus de petites entreprises.
Idée reçue #3 : « Un bon antivirus va régler tous mes problèmes ».
Nous avons expliqué cela au travers de différents webcasts : ceci n’est plus vrai aujourd’hui. Les types d’attaques sont de plus en plus nombreux et variés.
Cela reste bien entendu un outil indispensable mais un antivirus ne pourra pas vous protéger de tentatives de hacking par injection de code, hameçonnage, ou « brute force » par exemple.
Idée reçue #4 : « Les développeurs de solutions de sécurité offrent uniquement des protections à base de signatures, ce qui n’est pas suffisant ».
Cette réflexion est en partie vraie. Bien que la nécessité d’un antivirus ne soit plus à démontrer, aujourd’hui il n’est plus suffisant pour assurer la sécurité d’un SI.
Néanmoins les éditeurs de sécurité ont conscience de ceci et ont intégré au fur et à mesure des versions de leurs produits d’autres moteurs de sécurité tels qu’IPS, contrôle des applications, filtrage d’URL…
Par exemple, afin de se protéger des attaques 0-day, des moteurs de type « exploit blocking » ont fait leur apparition. Ces moteurs ont pour principe de connaître les vulnérabilités et de détecter toute menace non connue exploitant une vulnérabilité connue.
En définitive, nous en sommes à un stade de la sécurité où les solutions techniques prises une à une ne suffisent pas. Il est nécessaire de les combiner pour bénéficier d’une protection cohérente.
Idée reçue #5 : « Nous avons déplacé toutes nos données sur un cloud externalisé. L’hébergeur nous assure qu’il est muni d’une défense hors du commun. Nous sommes donc en sécurité ».
Sans vouloir être alarmiste, il y a beaucoup de problèmes soulevés ici.
Savez-vous quelles sont les solutions implémentées par votre fournisseur ? Êtes-vous sûr de garder la maîtrise de vos données si elles sont hébergées sur une infrastructure tierce ? Disposez-vous d’une sauvegarde de ces données ?
Faire confiance à un environnement non maîtrisé n’est pas envisageable et peut même constituer une faille en soi.
Dès lors qu’une partie de votre SI est externalisée, il est indispensable de contrôler de manière très précise ce qui provient dudit réseau. Beaucoup de malwares ont été détectés par les éditeurs de sécurité provenant de réseaux loués prétendument « très bien protégés ».
Ainsi pour bien faire, si vous ne pouvez pas établir l’état global de sécurité des services Web ou partenaires avec lesquels vous travaillez, vous devriez mettre en place un filtrage strict dans le but de vous prémunir de toute source de contamination.
Bien sur, cette liste n’est pas exhaustive mais représente les cas les plus souvent rencontrés. Même s’il peut exister des raisons de ne pas implémenter certains éléments de sécurité (il faut systématiquement confronter les impacts à la probabilité du risque), dès lors que des incidents ou des intrusions sont relevés, c’est souvent que les sociétés ont négligé certains points basiques de la sécurisation de leur SI.
