Le périmètre de vulnérabilité d'une organisation est la somme des vulnérabilités, voies ou méthodes, parfois appelées vecteurs d'attaque, que les pirates peuvent utiliser pour avoir un accès non autorisé au réseau ou à des données sensibles, ou pour mener une cyberattaque.
Comme les organisations adoptent de plus en plus des services cloud et des modèles de travail hybride (sur site/télétravail), leurs réseaux et leurs périmètres de vulnérabilité s'étendent et deviennent toujours plus complexes. Selon l'étude The State of Attack Surface Management 2022 de Randori (lien externe à ibm.com) (Randori est une filiale d'IBM Corp.), 67 % des organisations ont vu leur périmètre de vulnérabilité augmenter au cours des deux dernières années. Pour l'analyste sectoriel Gartner, l'expansion du périmètre de vulnérabilité est la première tendance en matière de sécurité et de gestion des risques pour 2022 (lien externe à ibm.com).
Les experts en sécurité divisent le périmètre de vulnérabilité en trois sous-périmètres : le périmètre de vulnérabilité numérique, le périmètre de vulnérabilité physique et le périmètre de vulnérabilité d'ingénierie sociale.
Le périmètre de vulnérabilité numérique expose potentiellement l'infrastructure du cloud et sur site de l'organisation aux pirates disposant d'une connexion Internet. Les vecteurs d'attaque courants dans le périmètre de vulnérabilité numérique d'une organisation comprennent les points suivants :
Mots de passe faibles : les mots de passe qui sont faciles à deviner ou à casser par le biais d'attaques par force brute augmentent le risque de compromission des comptes utilisateur par des cybercriminels pour accéder au réseau, voler des informations sensibles, diffuser des logiciels malveillants et endommager l'infrastructure. Selon le document d'IBM Cost of a Data Breach Report 2021, la compromission des informations d'identification était le vecteur d'attaque initial le plus couramment exploité en 2021.
Configuration inadaptée : des ports réseau, des canaux, des points d'accès sans fil, des pare-feu ou des protocoles mal configurés servent de points d'entrée aux pirates. Les attaques de l'intermédiaire, par exemple, profitent des protocoles de chiffrement faibles sur les canaux de transfert de messages pour intercepter les communications entre les systèmes.
Vulnérabilités des logiciels, des systèmes d'exploitation (OS) et du micrologiciel : les pirates et les cybercriminels peuvent exploiter des erreurs de codage ou de mise en œuvre dans des applications, les systèmes d'exploitation et les autres logiciels des tiers pour infiltrer les réseaux, accéder aux annuaires d'utilisateurs ou implanter des logiciels malveillants. Par exemple, en 2021, des cybercriminels ont exploité une faille dans la plateforme VSA (Virtual Storage Appliance) de Kaseya (lien externe à ibm.com) pour distribuer des ransomwares, déguisés en mise à jour logicielle, aux clients de Kaseya.
Actifs connectés à Internet : les applications Web, les serveurs Web et les autres ressources face à l'Internet public sont intrinsèquement vulnérables aux attaques. Par exemple, les pirates peuvent injecter du code malveillant dans les interfaces de programme d'application non sécurisées (API), qui amène ces dernières à divulguer ou même à détruire des informations sensibles dans les bases de données concernées.
Bases de données et répertoires partagés : les pirates peuvent exploiter les bases de données et les répertoires partagés entre les systèmes et les appareils pour obtenir un accès non autorisé aux ressources sensibles ou lancer des attaques de ransomwares. En 2016, le ransomware Virlock s'est propagé (lien externe à ibm.com) en infectant des dossiers de fichiers de collaboration accessibles par plusieurs appareils.
Appareils, données ou applications obsolètes : le fait de ne pas installer systématiquement les mises à jour et les correctifs crée des risques liés à la sécurité. Un exemple notable est le ransomware Wannacry, qui s'est répandu en exploitant une vulnérabilité du système d'exploitation Microsoft Windows (lien externe à ibm.com), pour lequel un correctif était disponible. De même, lorsque des terminaux, des ensembles de données, des comptes utilisateur et des applications obsolètes ne sont pas correctement désinstallés, supprimés ou annulés, ils créent des vulnérabilités non surveillées que les cybercriminels peuvent facilement exploiter.
Informatique fantôme : l'informatique fantôme englobe les logiciels, les matériels ou les appareils (les applications gratuites ou très utilisées, les périphériques de stockage portables et les appareils mobiles personnels non protégés) que les employés utilisent à l'insu du service informatique. Comme l'informatique fantôme n'est pas surveillée par les équipes informatiques ou de sécurité, elle peut créer de graves vulnérabilités que les pirates peuvent exploiter.
Le périmètre de vulnérabilité physique expose les actifs et les informations généralement accessibles uniquement aux utilisateurs autorisés à accéder aux installations physiques ou aux appareils terminaux de l'organisation (serveurs, ordinateurs, ordinateurs portables, appareils mobiles, appareils IoT, matériel opérationnel).
Menaces internes : des employés mécontents, des utilisateurs corrompus ou des utilisateurs malveillants peuvent utiliser leurs privilèges d'accès pour voler des données sensibles, désactiver des appareils, implanter des logiciels ou pire.
Vol d'appareils : les criminels peuvent voler des appareils terminaux ou y accéder en pénétrant dans les locaux d'une organisation. Une fois en possession du matériel, ils peuvent accéder aux données et aux processus stockés sur ces appareils. Ils peuvent également utiliser l'identité et les autorisations de l'appareil pour accéder à d'autres ressources réseau. Les terminaux utilisés par les télétravailleurs, les appareils personnels des employés et les appareils mis au rebut incorrectement sont des cibles typiques de vol.
Appâtage : l'appâtage est une attaque dans laquelle les pirates laissent des clés USB infectées par des logiciels malveillants dans des lieux publics, dans l'espoir que des personnes les récupéreront et les connecteront à leurs ordinateurs sans savoir qu'ils vont télécharger ces logiciels.
L'ingénierie sociale manipule les personnes en les incitant à effectuer différentes actions : partager des informations qu'elles ne devraient pas divulguer, télécharger des logiciels dangereux ou non autorisés, visiter des sites Web déconseillés, envoyer de l'argent à des criminels ou commettre d'autres erreurs qui compromettent leur sécurité ou leurs actifs personnels ou organisationnels.
Parce qu'elle exploite les faiblesses humaines plutôt que les vulnérabilités techniques ou des systèmes numériques, l'ingénierie sociale est parfois appelée « piratage humain ».
En savoir plus sur l'ingénierie sociale
Le périmètre de vulnérabilité d'ingénierie sociale d'une organisation représente essentiellement le nombre d'utilisateurs autorisés qui ne sont pas préparés ou sont vulnérables aux attaques par ingénierie sociale.
L'hameçonnage est le vecteur d'attaque d'ingénierie sociale le plus connu et le plus prévalent. Dans une attaque d'hameçonnage, les escrocs envoient des courriers électroniques, des messages texte ou des messages vocaux qui incitent les destinataires à communiquer des informations sensibles, à télécharger des logiciels malveillants, à transférer des fonds ou des actifs vers des personnes auxquelles ils ne sont pas destinés ou à exécuter d'autres actions dommageables. Les escrocs élaborent des messages d'hameçonnage qui semblent émaner d'une organisation ou d'une personne de confiance ou crédible, telle qu'un commerçant, un organisme administratif ou même, parfois, une personne que le destinataire connaît personnellement.
Selon le rapport IBM sur le coût d'une violation de données 2021, l'ingénierie sociale est la deuxième cause de violations de données.
La gestion du périmètre de vulnérabilité (ASM) fait référence aux processus et aux technologies qui adoptent la vision et l'approche d'un pirate du périmètre de vulnérabilité d'une organisation. Elle consiste à découvrir et surveiller en continu les actifs et les vulnérabilités que les pirates voient et tentent d'exploiter lors du ciblage de l'organisation. La gestion ASM implique généralement les points suivants :
Découverte, inventaire et surveillance continus des actifs potentiellement vulnérables. Toute initiative ASM commence par un inventaire complet et continuellement mis à jour des actifs informatiques connectés à Internet d'une organisation, y compris les actifs sur site et dans le cloud. L'adoption de l’approche d’un hacker permet de découvrir non seulement les actifs connus, mais aussi l’informatique fantôme (voir ci-dessus), les applications ou dispositifs abandonnés mais non supprimés ou désactivés (informatique orpheline), les actifs infectés par des hackers ou des logiciels malveillants (informatique d'escroquerie), et plus encore – essentiellement les actifs susceptibles d’être exploités par un pirate ou une cybermenace.
Une fois découverts, les actifs sont surveillés en continu, en temps réel, pour détecter les changements qui augmentent leur risque en tant que vecteur d'attaque potentiel.
Analyse du périmètre de vulnérabilité, évaluation des risques et hiérarchisation. Les technologies ASM évaluent les actifs en fonction de leurs vulnérabilités et des risques de sécurité qu'ils présentent et les hiérarchisent pour la réponse aux menaces ou la résolution des problèmes.
Réduction et résolution du périmètre de vulnérabilité. Les équipes chargées de la sécurité peuvent appliquer les résultats de l'analyse du périmètre de vulnérabilité et des simulations d'attaque pour prendre diverses mesures à court terme qui visent à réduire ce périmètre de vulnérabilité. Il peut s'agir de renforcer les mots de passe, de désactiver les applications et les dispositifs terminaux qui ne sont plus utilisés, d'appliquer des correctifs aux applications et au système d'exploitation, de former les utilisateurs à reconnaître les tentatives d'hameçonnage, d'instaurer des contrôles d'accès biométriques pour l'entrée dans les bureaux ou d'ajuster les contrôles et les politiques de sécurité concernant les téléchargements de logiciels et les supports amovibles.
Les organisations peuvent également prendre des mesures de sécurité plus structurelles ou à plus long terme pour réduire leur périmètre de vulnérabilité dans le cadre d'une initiative de gestion de ce dernier ou indépendamment. Par exemple, la mise en œuvre de l'authentification à deux facteurs (2fa) ou de l'authentification multifacteur peut réduire ou éliminer les vulnérabilités potentielles liées à des mots de passe faibles ou à une hygiène déficiente des mots de passe.
À plus grande échelle, une approche de sécurité Zero Trust peut réduire considérablement le périmètre de vulnérabilité d'une organisation. Cette approche exige que tous les utilisateurs, externes ou déjà dans le réseau, soient authentifiés, autorisés et validés en permanence, afin d'obtenir et de conserver l'accès aux applications et aux données. Les principes et technologies Zero Trust (validation continue, principe d'accès du moindre privilège, surveillance continue, micro segmentation du réseau) peuvent réduire ou éliminer de nombreux vecteurs d'attaque et fournir d'importantes informations pour l'analyse continue du périmètre de vulnérabilité.
Gérez l'expansion de votre empreinte numérique et atteignez votre objectif avec moins de faux positifs pour améliorer rapidement la cyber-résilience de votre organisation.
Connectez vos outils, automatisez votre centre des opérations de sécurité (SOC) et dégagez du temps pour ce qui compte le plus.
Mettez en place un programme de gestion des vulnérabilités qui identifie, hiérarchise et gère la résolution des failles qui risquent d'exposer vos actifs les plus critiques.
L'ingénierie sociale compromet la sécurité personnelle ou d'une entreprise en utilisant la manipulation psychologique et non pas le piratage technique.
Un logiciel malveillant est un code logiciel écrit pour endommager ou détruire des ordinateurs ou des réseaux ou pour accéder sans autorisation à des ordinateurs, des réseaux ou des données.
Cette approche exige que tous les utilisateurs, externes ou déjà dans le réseau, soient authentifiés, autorisés et validés en permanence, afin d'obtenir et de conserver l'accès aux applications et aux données.
Les menaces internes proviennent d'utilisateurs qui possèdent un accès autorisé aux actifs d'une entreprise et compromettent ces actifs délibérément ou accidentellement.
Un guide pour sécuriser votre environnement et vos charges de travail de cloud computing.
La sécurité des données est la pratique qui consiste à protéger les informations numériques contre le vol, la corruption ou les accès non autorisés tout au long de leur cycle de vie.