L UTILISATEUR, CIBLE DE TOUTES LES MENACES

Transcription

1 CHAPITRE 2 : L UTILISATEUR DÉFINIT LE PÉRIMÈTRE L UTILISATEUR, CIBLE DE TOUTES LES MENACES 1

2 L UTILISATEUR, CIBLE DE TOUTES LES MENACES En 2014, le Groupe NTT a recensé des «70 % des vulnérabilités millions de vulnérabilités sur les systèmes se situent au niveau des de ses clients. Une étude plus poussée terminaux utilisateurs» apporte par ailleurs des faits très révélateurs. Ainsi, on découvre notamment que 70 % des vulnérabilités se situent au niveau des terminaux des utilisateurs, et non sur les serveurs. Découvrez dans l article du Weekend Trends les répercussions de cette situation sur les schémas d attaques. LE TOP 10 DES VULNÉRABILITÉS Environnement Java Runtime obsolète Mise à jour des correctifs critiques Oracle Java SE Nombreuses vulnérabilités dans Java Web Start Mises à jour de sécurité MS Windows manquantes Version Flash Player obsolète Adobe Reader et Acrobat obsolètes Internet Explorer obsolète Nombreuses vulnérabilités sur Oracle Correctifs Oracle DB obsolètes/manquants Version OpenSSH obsolète Source : Top 10 most common vulnerabilities in

3 Dès lors que son système contient de nombreuses vulnérabilités non corrigées, l utilisateur finit par représenter un véritable danger pour son entreprise. Au moment de la rédaction de ce rapport, il existait déjà des correctifs permettant de contrer la totalité des 10 principales vulnérabilités détectées en Or, force est de reconnaître que l application de correctifs et la mise à jour des systèmes peuvent représenter des opérations complexes et fastidieuses, notamment dans les entreprises devant gérer un environnement matériel et logiciel particulièrement mobile, hétérogène et réparti sur plusieurs zones géographiques. VULNÉRABILITÉS PAR ANNÉE D APPARITION % 2% 4% 6% 8% 10% 12% 14% Source : Detected vulnerabilities by year of release, En 2014, 76 % des vulnérabilités identifiées sur tous les systèmes étudiés avaient «En 2014, 76 % des vulnérabilités identifiées sur plus de 2 ans et près de 9 % plus de tous les systèmes étudiés 10 ans. Nombre de ces vulnérabilités avaient plus de 2 ans et près sont rapidement intégrées dans des kits de 9 % plus de 10 ans.» d exploits clé en main que les pirates peuvent facilement intégrer à leurs plans d attaques (pour plus d informations, reportez-vous au chapitre consacré aux exploits). 3

4 Source : Un site du «Dark Web» proposant la vente d un outil de cryptage comprenant un service de support et de sécurité. Fort heureusement, il existe un moyen sûr de réduire l exposition aux vulnérabilités des postes clients. Pour ce faire, les entreprises doivent revoir et renforcer leur dispositif de gestion des vulnérabilités. Plus concrètement, il s agit pour elles de veiller à l intégration de l ensemble des systèmes clients des utilisateurs dans leur gestion des correctifs. Une procédure évidemment plus facile à dire qu à faire, et qui doit souvent suivre un certain nombre de directives : 4

5 Définissez un ensemble de configurations approuvées pour renforcer les terminaux des utilisateurs et assurer leur bon fonctionnement. Le cahier des charges devra non seulement intégrer les systèmes d exploitation, applications et services approuvés, mais également préciser le navigateur pris en charge dans l entreprise. Plus ces «normes de référence» seront concises et cohérentes, plus l entreprise aura de facilité à les faire appliquer. Sensibilisez les utilisateurs à la teneur de ces normes, tout en précisant bien que l utilisation de logiciels «non approuvés» est formellement interdite, et donc passible de sanctions disciplinaires. Réduisez au maximum le nombre d administrateurs ou de comptes autorisés à changer les configurations systèmes, notamment pour réduire le risque d installation de logiciels potentiellement non autorisés. Appliquez régulièrement des correctifs sur les systèmes de vos utilisateurs, et contrôlez-en la bonne installation. Effectuez régulièrement des analyses de vulnérabilités internes et externes afin d identifier les systèmes non conformes aux normes définies, puis déployez des correctifs sur ces systèmes. Mettez en œuvre un processus d exception pour le suivi des logiciels «spéciaux» et les utilisateurs dotés de privilèges élevés. Pour télécharger le rapport GTIR, rendez-vous sur 5