27 Sep 2017

[Hackfest::Archive] L’intranet, si sécuritaire!

Paru sur le blogue du Hackfrest.

Paru sur le blogue du Hackfrest.

Les risques de sécurité sont la plupart du temps reliés aux services exposés dans la zone Internet (DMZ), un extranet ou tout ce qui est en lien avec Internet. Par contre, bien qu’il y est des risques dans ces environnements, le nombre d’incidents y étant associés est réputé pour y être plus faible que les incidents survenant en zone sécurisée telle que l’intranet et l’extranet des entreprises et gouvernements.

Le fameux 80% d’attaque à l’interne n’est pas une valeur que j’aime citer puisque même si plusieurs utilisent cette donnée, peu de preuve indique qu’elle est réelle! Donc, à défaut d’écrire un article citant à tort la règle indiquant que 80% des attaques proviennent de l’intérieur voici des exemples et statistiques concrets démontrant les vecteurs d’attaques de 2009 à 2011.

La réalité est qu’environ 40 à 50% des attaques se produisent de l’intérieur. Mais quand nous parlons d’attaque, les erreurs humaines qui auraient pu être empêchées avec de meilleure mesure de sécurité telle que de meilleurs droits d’accès sont incluses dans ces pourcentages. Ainsi, la règle du 80% vient du fait qu’il est connu que la plupart du temps lorsqu’un problème survient celui-ci n’est pas divulgué ou est simplement réglé à l’interne, donc les statistiques ne peuvent facilement en prendre compte. De ce fait, le 50% devient 80%.

Tout ceci était surement très plausible il y a plus de 5 ans, mais aujourd’hui, les types d’attaques et la facilité de celles-ci a totalement changé les chiffres.

Présentement, si nous regardons les statistiques obtenues par Verizon, les services secrets américain et allemand, nous voyons une tout autre tendance. 2009-2010 environ 50% des attaques impliquent des internes et le vecteur d’attaque principal était l’utilisation de droit trop élevé, voir mal configuré (48%*), de hacking (40%) et de malware (38%).  2011 la tendance à changée. Nous avons vu dans les derniers mois des attaques des groupes tels que les anonymes et lulzsec effectuant des attaques qui consistent à voler de l’information et la diffuser. La tendance de ces groupes qui utilisent pour la plupart d’entre eux des attaques de type SQL Injection (donc Hacking) pour diffuser de l’information confidentielle a fait exploser les statistiques dans le sens inverse.

2011 se résume à 92% des attaques provenant de l’extérieur et seulement 17% ont profité de l’aide d’internes. Les vecteurs d’attaques ayant changé vers 50% hacking et 49% malware.

Sans faire une analyse plus exhaustive (je vous laisse le soin de regarder les documents ci-dessous) nous pouvons voir que le contexte des types d’attaques et de qui les exécute peut changer rapidement, mais les vecteurs d’attaques restent pratiquement semblables. De plus, il ne faut pas oublier qu’un certain pourcentage d’attaque (environ 15%) implique des partenaires. Ainsi, il faut toujours garder en tête, et ce, pareillement à la validation de données lors d’audit de code source que tout intrant, tout type de lien entre entreprises, entre partenaires ainsi que les employés sont susceptibles d’amener un pourcentage de risque et de problème de sécurité dans notre entreprise. Ainsi, on doit toujours mettre en place notre sécurité pour gérer tous ces liens et ces points d’entrées, quels qu’ils soient.

Sources:

  •  

    *: Le pourcentage n’est pas cumulatif, mais représente chaque fois l’implication de la valeur sur le nombre total d’incidents.