IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Les DSI admettent investir des millions à fonds perdu dans une cybersécurité qui se révèle inopérante


Sujet :

Sécurité

  1. #1
    Expert éminent sénior

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2013
    Messages
    320
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Sénégal

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2013
    Messages : 320
    Points : 27 371
    Points
    27 371
    Billets dans le blog
    1
    Par défaut Les DSI admettent investir des millions à fonds perdu dans une cybersécurité qui se révèle inopérante
    Les DSI admettent investir des millions à fonds perdu dans une cybersécurité qui se révèle inopérante
    sur la moitié des attaques

    Une étude menée par Vanson Bourne auprès de 500 DSI au total, en poste dans de grandes entreprises en France, en Allemagne, aux États-Unis et au Royaume-Uni, portant sur la fréquence et l’incidence d’une sécurité informatique inefficace indique que 90 % des DSI s’attendent à être la cible d’attaques en raison de leur aveuglement à l’égard des nouvelles menaces. Ces décideurs informatiques sont unanimes pour dire que les fondements de la cybersécurité, clés cryptographiques et certificats numériques, n’étant actuellement aucunement protégés, les entreprises sont dans l’ignorance, en proie au chaos, et incapables de se défendre, d’après le rapport de l’étude.

    Selon Vanson Bourne, les DSI reconnaissent gaspiller plusieurs millions de dollars dans la superposition de mécanismes de défense puisque ces outils vouent une confiance aveugle aux clés et aux certificats et se révèlent incapables de différencier ceux dignes de confiance des autres. L’auteur de l’étude ajoute que si l’on se réfère aux prévisions de Gartner, qui estime que 50 % des attaques réseau cibleront le protocole SSL/TLS, cela signifie que des systèmes de sécurité aussi répandus que FireEye ne seront opérants que la moitié du temps. Et les DSI admettraient que leurs projets des plus stratégiques sont en danger permanent. Les principales conclusions de cette étude publiée dans un rapport sont les suivantes :

    • 87 % des DSI sont convaincus de l’inefficacité de leurs mécanismes de défense puisque ceux-ci sont incapables d’analyser le trafic réseau crypté pour y déceler d’éventuelles attaques ;
    • 90 % des DSI ont déjà essuyé ou s’attendent à essuyer une attaque dissimulée dans du trafic crypté ;
    • 86 % des DSI estiment que les clés de cryptage et certificats numériques dérobés sont en passe de représenter un marché extrêmement lucratif pour les pirates ;
    • 79 % des DSI conviennent que leur stratégie d’accélération de l’informatique et de l’innovation est en danger, car leurs initiatives introduisent des vulnérabilités nouvelles.


    Les entreprises s’en remettent à des dizaines de milliers de clés et de certificats qui posent les fondements de la confiance sur lesquels s’appuient leurs sites web, machines virtuelles, appareils mobiles et serveurs cloud, déclarent les auteurs de l’étude. Cette technologie a été adoptée pour contribuer à résoudre la problématique de sécurité initiale d’Internet, c’est-à-dire être en mesure d’isoler les contenus sûrs et confidentiels, rappellent ces derniers. Depuis la banque en ligne jusqu’à l’Internet des objets en passant par la sécurisation des applications et les applications mobiles, tout ce qui est basé sur IP dépend d’une clé et d’un certificat pour établir une connexion fiable et sécurisée. Cependant des cybercriminels détournent actuellement des clés et certificats sans protection pour se dissimuler dans du trafic crypté, créer de faux sites web, déployer des logiciels malveillants, élever leurs privilèges et dérober des données.

    Les technologies déployées (protection des postes de travail, protection contre les menaces avancées, pare-feu de nouvelle génération, analyse comportementale, détecteurs d’intrusions et prévention des pertes de données (DLP)) sont foncièrement imparfaites puisqu’il est impossible de séparer le bon grain de l’ivraie en dissociant les clés et certificats valables de ceux qui sont corrompus. Ces outils se révèlent ainsi incapables de passer au crible la grande majorité du trafic réseau crypté. D’où des failles béantes dans les mécanismes de défense des entreprises. Les cybercriminels mettent à profit ces angles morts dans le domaine de la sécurité. Ils se servent notamment de ces clés et certificats dénués de protection pour se dissimuler dans du trafic crypté et contourner les contrôles de sécurité.

    Kevin Bocek, vice-président stratégie de sécurité et veille des menaces chez Venafi commente que « Les clés et certificats constituent les fondements de la cybersécurité : ils authentifient les connexions système et nous indiquent si les logiciels et équipements fonctionnent comme prévu. Si ces fondements s’effondrent, nous rencontrons de graves difficultés ». Il ajoute également que « les pirates peuvent usurper, contrefaire et surveiller les sites web, infrastructures, clouds et appareils mobiles de leurs cibles, et décrypter des communications censées être confidentielles, dotés d’une clé et d’un certificat compromis, dérobés ou falsifiés. » Le responsable de la stratégie sécurité de Vénafi remarque que « progressivement, les systèmes que nous avons mis en place pour tester et instituer une confiance en ligne se retournent contre nous. Pire, les éditeurs et fournisseurs qui affirment être en mesure de nous protéger en sont bien incapables. Leurs outils de protection pour postes de travail, pare-feu, détecteurs d’intrusions, systèmes DLP et autres sont pires qu’inutiles puisqu’ils leurrent les clients en les entretenant dans une illusion de sécurité. Cette étude indique que les DSI sont désormais conscients de dilapider des millions dans la mesure où des systèmes de sécurité tels que FireEye ne peuvent stopper la moitié des attaques. Selon les prévisions de Gartner, d’ici à 2017, plus de la moitié des attaques réseau ciblant les entreprises utiliseront du trafic crypté pour esquiver les contrôles ; ces technologies sont sans défense face à elles ! Sachant que le marché mondial de la sécurité des entreprises pèse environ 83 milliards de dollars, autant dire que c’est énormément d’argent gaspillé dans des solutions qui ne s’acquittent de leur mission qu’à temps partiel. »

    Selon lui, « les marchés expriment clairement leur manque de confiance dans la cybersécurité ». En effet, ce n’est pas une coïncidence si 90 % des DSI admettent dilapider des milliards dans une cybersécurité inadéquate et si le fonds spéculatif HACK, spécialisé dans ce domaine, a perdu 25 % depuis novembre 2015. Des résultats bien en deçà de l’indice S&P500 qui, lui, s’inscrit en repli de 10 % du fait des turbulences sur les marchés. Les risques liés à des clés et certificats sans protection, échappant à tout contrôle, se multiplient à mesure que leur nombre augmente. Un récent rapport de Ponemon révèle qu’en moyenne, une entreprise possède plus de 23 000 clés et certificats, et que 54 % des professionnels de la sécurité avouent tout ignorer de leur emplacement, de leurs détenteurs et de leur mode d’utilisation. C’est ce qui expliquerait la crainte des DSI quant à la multiplication des clés et certificats.

    À la lumière des initiatives de cryptage systématique (« Encryption Everywhere »), apparues dans le sillage des révélations d’Edward Snowden et des opérations d’espionnage de la NSA, la quasi-totalité des DSI (95 %) se disent préoccupées par la marche à suivre pour sécuriser la gestion et la protection de l’ensemble des certificats et clés de cryptage, révèle l’étude. En effet, à mesure que l’informatique s’accélèrera via l’activation et la désactivation de services en fonction de l’élasticité des besoins, préviennent les auteurs de l’étude, le nombre de clés et de certificats progressera en proportion. À la question de savoir si la rapidité de progression du mouvement « DevOps » complique encore l’identification de ce qui est ou non digne de confiance au sein de leurs entreprises, les DSI affirment à 79 % que c’est le cas, mentionne le rapport.

    Kevin Bocek rappelle que « Gartner prévoit que d’ici à 2017, trois entreprises sur quatre évolueront vers une structure informatique bimodale avec une informatique à deux axes et deux vitesses : l’une qui accompagnera les applications en place en quête de stabilité, l’autre qui dispensera des services agiles adaptés aux projets d’innovation et stratégiques pour l’activité ». Il poursuit en déclarant que « le recours à des méthodes agiles et l’adoption du concept DevOps est une tentative extrêmement risquée et chaotique, car dans ces nouveaux environnements, la sécurité sera toujours mise à mal, et il sera pratiquement impossible de suivre ce qui est digne de confiance de ce qui ne l’est pas ».

    Source : Venafi

    Et vous ?

    Que pensez-vous des résultats de cette étude ?

    Voir aussi

    le forum Sécurité

  2. #2
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    ça me rappelle un buzz sécuritaro-franco-français

    il fait pas bon faire de la gouvernance sécurité dans les grosses entreprises de toutes façons, la moitié du temps tu te bats pour obtenir des crédits qu'on veut pas te donner et l'autre moitié du temps tu prends la foudre parceque t'es responsable du fruit sécurité et de ses pépins, c'est un job de masochiste

  3. #3
    Membre averti
    Profil pro
    Développeur
    Inscrit en
    Mai 2006
    Messages
    107
    Détails du profil
    Informations personnelles :
    Localisation : France, Val d'Oise (Île de France)

    Informations professionnelles :
    Activité : Développeur

    Informations forums :
    Inscription : Mai 2006
    Messages : 107
    Points : 389
    Points
    389
    Par défaut
    Cela prouve, s'il en est besoin qu'un programme, aussi performant soit - il, ne pourra jamais pallier la bêtise humaine.

    Les petits chefs veulent tous les accès, parce que ce sont ... Des chefs, et qu'ils savent, mais ce sont les premiers à cliquer sur un mail "rigolo" ou osé, qui va pourrir leur machine et le réseau avec.

    Quant à l'utilisateur lambda, il s'en moque, il n'est pas chez lui, ce n'est pas à lui, et tout ça n'est pas son problème, mais celui du service informatique.

    Bref, depenser des milliards en sécurité ne servira à rien, tant qu'on aura des tanches derrière le pupitre...

  4. #4
    Nouveau Candidat au Club
    Profil pro
    Inscrit en
    Avril 2006
    Messages
    2
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2006
    Messages : 2
    Points : 1
    Points
    1
    Par défaut et pour supprimer la bêtise humaine, combien ?
    Bonsoir,

    Rigolo, en lisant l'article je pensai la même chose que Buffalo et Excellion...

    Vous le dites en termes bruts... mais c'est clair !

    DONC je reviens au sujet : c'est combien pour supprimer la bêtise et l'ignorance ?

    Cela passe par les RH et la formation (en + de la techno) , mais combien de PDG en sont-ils conscients ?

    C'est comme le corps humain et la médecine des labos... viser la cause n'est pas suffisant.. il faut voir GLOBAL... plus large !

    Allez va, pour ma pomme de 70 balais, j'ai l'impression de bégayer !

    A++
    Bien à vous
    Marc

  5. #5
    Candidat au Club
    Homme Profil pro
    Expert sécurité informatique
    Inscrit en
    Mars 2016
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Suisse

    Informations professionnelles :
    Activité : Expert sécurité informatique
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Mars 2016
    Messages : 1
    Points : 3
    Points
    3
    Par défaut @BufferBob: merci pour le rétro-lien
    Je ne sais pas si on se connait, mais ça fait plaisir de voir que la croisade du Security #Fail gagne en popularité chaque jour

  6. #6
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    héhéhé non on ne se connait pas, j'ai eu bien connu un de tes padawan-stagiaire-à-lunettes-bouffeur-de-céréales-et-versé-dans-le-reversing-kernel-windows à une époque, ça imprègne forcément un peu...

    pour le reste et au delà du contenu en lui même, tant qu'à citer des sources sur ces forum je préfère mettre en avant les acteurs de la sécurité plutôt que re-link des éventuels zdnet ou autres clubic, une question de "qualité des matières premières" en somme pour peu qu'on s'intéresse vraiment à la sécurité informatique

Discussions similaires

  1. Récupérer des noms de fichier dans une table pour les placer en masque du tfilelist
    Par charliplanete dans le forum Développement de jobs
    Réponses: 11
    Dernier message: 24/08/2011, 17h16
  2. Charger des millions de lignes dans un GridView
    Par jarmoud dans le forum VB.NET
    Réponses: 14
    Dernier message: 30/05/2010, 19h46
  3. Réponses: 1
    Dernier message: 13/03/2009, 10h57
  4. les données des tables son perdu dans SqlPlus
    Par princessa dans le forum Sql*Plus
    Réponses: 3
    Dernier message: 09/03/2007, 19h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo