Les appareils en fin de vie restent un problème de sécurité omniprésent dans l’entreprise, tout comme les réseaux mal segmentés, les systèmes non corrigés et les lacunes de visibilité, selon de récents rapports de télémétrie.
De nouvelles recherches ont révélé à quel point les réseaux d’entreprise sont étendus, à moitié visibles et remplis de PC et de serveurs exécutant des versions obsolètes de systèmes d’exploitation et d’appareils IoT vulnérables.
Selon une étude de Palo Alto Networks, vingt-six pour cent des systèmes Linux et 8 % des systèmes Windows fonctionnent sur des versions de systèmes d’exploitation en fin de vie (EOL).
Le rapport sur les menaces liées à la sécurité des appareils de Palo Alto, basé sur les données télémétriques de 27 millions d’appareils sur les réseaux de 1 800 entreprises, a également révélé que 39 % des appareils informatiques enregistrés dans les annuaires réseau ne disposent pas de protections actives de sécurité des points finaux. Un tiers (32,5 %) de tous les appareils des réseaux d’entreprise fonctionnent hors du contrôle informatique.
L’absence de contrôles de sécurité permet aux attaquants de pirater des appareils non protégés sans risquer d’être détectés. Près de quatre réseaux d’entreprise sur cinq (77 %) étaient mal segmentés, des configurations dans lesquelles des appareils à faible sécurité tels que des cafetières ou des imprimantes intelligentes et des cibles de grande valeur comme les serveurs financiers se trouvaient sur le même segment de réseau.
Lacunes de visibilité
La visibilité et la segmentation restent les points faibles de nombreux réseaux d’entreprise. Environ un tiers des appareils d’entreprise ne sont toujours pas gérés et la plupart des réseaux sont effectivement plats, ce qui permet aux attaquants de se déplacer librement une fois qu’ils y ont pénétré.
Pire encore, les appareils en périphérie du réseau sont de plus en plus touchés par des vulnérabilités zero-day que les experts attribuent à des bogues de sécurité de base.
« Des erreurs de configuration dans les pare-feu, les routeurs et les commutateurs ont conduit à plusieurs reprises à des violations majeures, car ces appareils disposent souvent d’un accès privilégié et d’une large visibilité sur le réseau », explique Bharat Mistry, directeur technique sur le terrain chez Trend Micro. « Leur présence en tête de la liste des vulnérabilités souligne la nécessité d’une gestion rigoureuse des correctifs et de la configuration. »
Les routeurs, les systèmes de visioconférence et les équipements IoT se trouvent en périphérie des réseaux, souvent non gérés, mal corrigés et fonctionnant avec des informations d’identification par défaut.
« Si vous réduisez l’exposition à Internet, supprimez les informations d’identification par défaut et donnez la priorité aux correctifs pour les appareils à la fois exposés et exploitables, vous supprimez une énorme quantité d’opportunités aux attaquants à faible effort », déclare Rik Ferguson, vice-président du renseignement de sécurité chez Forescout.
Ferguson ajoute : « Vous ne pouvez pas compter sur la couverture des agents, vous avez donc besoin d’une visibilité continue et sans agent, d’un inventaire des logiciels/micrologiciels, y compris des contrôles EOL et basés sur les risques aux niveaux de segmentation et de mise à jour des correctifs. »
Entreprise risquée
« Leur découverte (de Palo Alto) selon laquelle 26 % des systèmes Linux et 8 % des systèmes Windows sont en fin de vie est cohérente avec ce que nous observons sur le terrain, en particulier pour Linux embarqué dans les routeurs et les appareils, où les versions du noyau sont en retard de plusieurs années », déclare Ferguson. « Le résultat est une vaste surface d’attaque d’appareils accessibles sur Internet avec des failles non corrigées et des défauts par défaut faibles. »
Selon le dernier rapport annuel de Forescout sur les appareils les plus risqués, les routeurs et autres équipements réseau représentent plus de la moitié des appareils présentant les vulnérabilités les plus dangereuses, d’autres catégories telles que les systèmes vidéo/vocaux étant également importantes.
L’étude de Forescout, basée sur la télémétrie des appareils d’entreprise utilisant le Device Cloud de Forescout et une méthodologie de notation des risques multifactorielle, souligne également que le risque posé par la technologie opérationnelle (OT) augmente rapidement.
Les types d’appareils les plus risqués par domaine, selon ForeScout, comprennent les contrôleurs de mise à disposition d’applications et les pare-feu, du côté informatique ; NVR, NAS, VoIP et caméras IP dans l’IoT ; et des passerelles universelles et des systèmes de gestion de bâtiment en OT.
Les défis de la remédiation
Matt Middleton-Leal, directeur général pour la région EMEA chez Qualys, affirme que la visibilité, la correction des vulnérabilités et la segmentation du réseau doivent être traitées comme plus importantes en interne si les RSSI souhaitent obtenir une assistance pour les projets de remédiation de sécurité.
« Il y a ici deux problèmes : comment obtenir une visibilité complète de tous vos actifs informatiques et pourquoi les logiciels ou le matériel en fin de vie existent toujours au sein de l’entreprise », explique Middleton-Leal. « Pour les RSSI, traiter ces problèmes implique de travailler avec l’entreprise sur la question des risques. »
Le défi pour les responsables de la sécurité est que les projets de remplacement d’équipements non sécurisés sont considérés comme des priorités moindres et manquent de rentabilité, comme par exemple les projets liés à l’IA qui sont considérés comme « à la pointe » de l’innovation.
« Le remplacement des actifs en fin de vie peut nécessiter du temps et des ressources de gestion du changement qui coûtent de l’argent, mais cela n’apporte pas un retour sur investissement suffisant à l’entreprise », explique Middleton-Leal.
Adam Seamons, responsable de la sécurité de l’information chez GRC International Group, convient que le remplacement des systèmes existants est rarement une priorité en matière de projet informatique d’entreprise.
« La persistance de systèmes Windows et Linux en fin de vie n’est pas de la paresse ; c’est une réalité », déclare Seamons. « Le remplacement des systèmes existants est coûteux, risqué et rarement en tête de liste des priorités jusqu’à ce que quelque chose tombe en panne. »
Seamons ajoute : « Le problème est que chaque appareil non corrigé est essentiellement un tapis de bienvenue pour les attaquants. »
Le travail de remédiation peut aller au-delà du simple remplacement ou de la migration du matériel, car les mises à niveau peuvent impliquer un travail supplémentaire de refactorisation du logiciel pour fonctionner avec des composants plus récents et plus sécurisés.
« C’est souvent la raison pour laquelle ces actifs logiciels plus anciens ne sont pas mis à jour, car la refonte et le contrôle des modifications représentent un investissement important pour un retour sur investissement relativement faible », note Middleton-Leal de Qualys.
« Les RSSI et les responsables de la sécurité doivent guider leurs équipes dans ces coûts et, lorsque les logiciels en fin de vie ne peuvent pas être remplacés, concevoir des contrôles compensatoires et une approche d’atténuation des risques qui garantissent la sécurité des logiciels ou des actifs », explique Middleton-Leal.
