Selon HP, des failles de sécurité déjà connues restent en bonne place des menaces informatiques potentielles

Les 10 failles de sécurité les plus utilisées par les hackers en 2014 exploitent des vulnérabilités de codes déployés dans des systèmes depuis parfois des dizaines d’années
HP vient de publier l’édition 2015 de son étude annuelle ‘Cyber Risk Report”. Ce rapport donne un état de la recherche et une analyse en profondeur des problèmes de sécurité les plus sérieux auxquels les entreprises ont été confrontées en 2014. Il évoque également les tendances probables pour 2015.
Diligentée par HP Security Research, cette étude analyse les données identifiant les failles de sécurité les plus répandues qui laissent les organisations vulnérables face à des attaques. Le rapport de cette année révèle que des failles de sécurité déjà connues et des erreurs de configuration ont contribué aux menaces les plus importantes en 2014.
« Un grand nombre de risques de sécurité majeurs sont liés à des failles connues depuis des décennies, et qui laissent les organisations inutilement exposées », a déclaré Art Gilliland (@ArtGilliand) Sénior Vice-Président et Directeur Général de la division HP Enterprise Security Products. « Nous ne pouvons pas nous contenter de nous défendre contre ces vulnérabilités connues en attendant la prochaine solution technologique miracle.  Les organisations doivent plutôt faire usage de tactiques de sécurité fondamentales pour contrer les vulnérabilités connues, et ensuite, éliminer des quantités importantes de risque ».

Faits marquants et résultats majeurs

  • 44 % des failles de sécurité connues sont liées à des vulnérabilités identifiées depuis 2 à 4 ans.  Les attaquants continuent d’exploiter des techniques classiques pour réussir à s’introduire dans les réseaux et les serveurs. Chacune des 10 vulnérabilités les plus exploitées en 2014 s’est servie de faiblesses dans des lignes de code écrites depuis des années, voire des dizaines d’années.
  • La première cause de vulnérabilité est une mauvaise configuration des serveurs. Devançant de loin des vulnérabilités comme le manque de confidentialité ou la faible sécurisation des cookies, la mauvaise configuration des serveurs arrive en tête des failles de sécurité en 2014. Ce défaut permet aux hackers d’accéder aux fichiers, et rend ainsi les entreprises vulnérables aux attaques.
  • Les objets connectés ouvrent de nouvelles portes aux attaquants. En plus des risques de sécurités présentés par les objets connectés, 2014 a également vu une croissance des logiciels toxiques implantés sur les mobiles. Avec l’expansion croissante de l’éco-système participant aux traitements informatiques, les hackers vont pouvoir agir sur des points d’entrée au système d’information plus nombreux, tant que les entreprises n’auront pas pris de mesures de sécurité sur ce sujet
  • Les principales causes d’exploitation des vulnérabilités sur les logiciels sont les erreurs, les bogues et les défauts de logique dans le codage. La plupart des failles de sécurité ont pour origine un petit nombre d’erreurs courantes dans la programmation. Anciennes  et nouvelles vulnérabilités des logiciels sont rapidement exploitées par les attaquants.

Recommandations principales

  • Une stratégie globale de déploiement des correctifs aux moments opportuns devrait être mise en place pour défendre le réseau et s’assurer que les systèmes sont à jour avec les dernières protections de sécurité en date afin de réduire le risque de réussite des attaques.
  • La vérification des configurations et des tests réguliers de pénétration effectués à la fois par des équipes internes et externes peuvent permettre d’identifier d’éventuelles erreurs de configuration avant que les hackers ne les utilisent à mauvais escient
  • Atténuer les risques potentiellement introduits sur le réseau avant l’adoption de nouvelles technologies. Avec les technologies émergentes comme l’Internet des Objets (IdO), il est impératif pour les organisations de se protéger contre les failles de sécurité potentielles en prenant conscience de nouvelles possibilités d’attaque avant qu’elles ne soient exploitées.
  • La collaboration et  le partage d’informations est un facteur clé pour réagir aux menaces variées portant sur l’ensemble du secteur de la sécurité. Cela permet aux organisations de mieux comprendre les tactiques des adversaires, de constituer une défense plus proactive, de renforcer les protections offertes par les solutions de sécurité, et de créer un environnement global plus sûr.
  • Une stratégie de protection complémentaire devrait être adoptée avec une philosophie d’ « acceptation des failles » continue. Il n’y a pas de solution miracle, et les équipes chargées de défendre le S.I.  devraient mettre en œuvre un ensemble de tactiques complémentaires de sécurité pour assurer la meilleure défense possible.
Vidéos associées
Cyber Risk Report 2015: Executive Overview – Art Gilliand, Directeur Géneral de HP Enterprise Security Products, présente une vue d’ensemble du paysage des menaces informatiques et introduit le rapport 2015
Cyber Risk Report 2015: The Past Is Prologue – Apprenez-en plus sur les résultats de l’étude 2015 en profitant d’une séance de questions/réponses avec Jewel Type de HP Security Research

 

Related Topics
Author
By
@coesteve1
Related Posts

Readers Comments


Add Your Comment

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*

In The News

Selon HP, des failles de sécurité déjà connues restent en bonne place des menaces informatiques potentielles

4th mars, 2015
Les 10 failles de sécurité les plus utilisées par les hackers en 2014 exploitent des vulnérabilités de codes déployés dans des systèmes depuis parfois des dizaines d’années
HP vient de publier l’édition 2015 de son étude annuelle ‘Cyber Risk Report”. Ce rapport donne un état de la recherche et une analyse en profondeur des problèmes de sécurité les plus sérieux auxquels les entreprises ont été confrontées en 2014. Il évoque également les tendances probables pour 2015.
Diligentée par HP Security Research, cette étude analyse les données identifiant les failles de sécurité les plus répandues qui laissent les organisations vulnérables face à des attaques. Le rapport de cette année révèle que des failles de sécurité déjà connues et des erreurs de configuration ont contribué aux menaces les plus importantes en 2014.
« Un grand nombre de risques de sécurité majeurs sont liés à des failles connues depuis des décennies, et qui laissent les organisations inutilement exposées », a déclaré Art Gilliland (@ArtGilliand) Sénior Vice-Président et Directeur Général de la division HP Enterprise Security Products. « Nous ne pouvons pas nous contenter de nous défendre contre ces vulnérabilités connues en attendant la prochaine solution technologique miracle.  Les organisations doivent plutôt faire usage de tactiques de sécurité fondamentales pour contrer les vulnérabilités connues, et ensuite, éliminer des quantités importantes de risque ».

Faits marquants et résultats majeurs

  • 44 % des failles de sécurité connues sont liées à des vulnérabilités identifiées depuis 2 à 4 ans.  Les attaquants continuent d’exploiter des techniques classiques pour réussir à s’introduire dans les réseaux et les serveurs. Chacune des 10 vulnérabilités les plus exploitées en 2014 s’est servie de faiblesses dans des lignes de code écrites depuis des années, voire des dizaines d’années.
  • La première cause de vulnérabilité est une mauvaise configuration des serveurs. Devançant de loin des vulnérabilités comme le manque de confidentialité ou la faible sécurisation des cookies, la mauvaise configuration des serveurs arrive en tête des failles de sécurité en 2014. Ce défaut permet aux hackers d’accéder aux fichiers, et rend ainsi les entreprises vulnérables aux attaques.
  • Les objets connectés ouvrent de nouvelles portes aux attaquants. En plus des risques de sécurités présentés par les objets connectés, 2014 a également vu une croissance des logiciels toxiques implantés sur les mobiles. Avec l’expansion croissante de l’éco-système participant aux traitements informatiques, les hackers vont pouvoir agir sur des points d’entrée au système d’information plus nombreux, tant que les entreprises n’auront pas pris de mesures de sécurité sur ce sujet
  • Les principales causes d’exploitation des vulnérabilités sur les logiciels sont les erreurs, les bogues et les défauts de logique dans le codage. La plupart des failles de sécurité ont pour origine un petit nombre d’erreurs courantes dans la programmation. Anciennes  et nouvelles vulnérabilités des logiciels sont rapidement exploitées par les attaquants.

Recommandations principales

  • Une stratégie globale de déploiement des correctifs aux moments opportuns devrait être mise en place pour défendre le réseau et s’assurer que les systèmes sont à jour avec les dernières protections de sécurité en date afin de réduire le risque de réussite des attaques.
  • La vérification des configurations et des tests réguliers de pénétration effectués à la fois par des équipes internes et externes peuvent permettre d’identifier d’éventuelles erreurs de configuration avant que les hackers ne les utilisent à mauvais escient
  • Atténuer les risques potentiellement introduits sur le réseau avant l’adoption de nouvelles technologies. Avec les technologies émergentes comme l’Internet des Objets (IdO), il est impératif pour les organisations de se protéger contre les failles de sécurité potentielles en prenant conscience de nouvelles possibilités d’attaque avant qu’elles ne soient exploitées.
  • La collaboration et  le partage d’informations est un facteur clé pour réagir aux menaces variées portant sur l’ensemble du secteur de la sécurité. Cela permet aux organisations de mieux comprendre les tactiques des adversaires, de constituer une défense plus proactive, de renforcer les protections offertes par les solutions de sécurité, et de créer un environnement global plus sûr.
  • Une stratégie de protection complémentaire devrait être adoptée avec une philosophie d’ « acceptation des failles » continue. Il n’y a pas de solution miracle, et les équipes chargées de défendre le S.I.  devraient mettre en œuvre un ensemble de tactiques complémentaires de sécurité pour assurer la meilleure défense possible.
Vidéos associées
Cyber Risk Report 2015: Executive Overview – Art Gilliand, Directeur Géneral de HP Enterprise Security Products, présente une vue d’ensemble du paysage des menaces informatiques et introduit le rapport 2015
Cyber Risk Report 2015: The Past Is Prologue – Apprenez-en plus sur les résultats de l’étude 2015 en profitant d’une séance de questions/réponses avec Jewel Type de HP Security Research

 

By
@coesteve1
backtotop