Archives quotidiennes :

Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, RGPD, Sauvegarde, Securite informatique

Stratégie vs tactique, les fournisseurs cybersécurité sont-ils trop nombreux ?

Si vous demandez à n’importe quel membre d’un comité de direction ou d’un comité exécutif quelle place il accorde à la cybersécurité, il vous répondra qu’il la prend « très au sérieux ». Et c’est certainement vrai. Personne ne souhaite voir son entreprise citée lorsque l’on parlera de la prochaine faille de cybersécurité qui aura exposé des millions de consommateurs au vol d’identité ou causé de lourdes pertes financières et une chute du cours de l’action. Pourtant, si tous semblent partager ce sentiment, pourquoi la stratégie de cybersécurité des entreprises parait-elle encore si confuse ?

Ce désordre n’est ni le fait des fournisseurs ni des utilisateurs. Il est la conséquence des défis de plus en plus complexes à relever en matière de sécurité et de la tendance humaine naturelle à vouloir s’attaquer à chaque problème qui survient. Cependant, cette approche crée un environnement où les tactiques et les solutions ponctuelles absorbent toute l’énergie et toutes les ressources – éloignant ainsi la possibilité de mener une véritable réflexion stratégique sur le problème.

En réalité, bien qu’ils puissent contribuer à structurer, à gérer ce chaos, les fournisseurs de technologie peuvent également être acteurs du problème. Qu’il s’agisse de petites structures ou de fournisseurs de renom, ils offrent une vaste gamme de produits et de services qui tirent parti de la crainte suscitée par les dernières actualités en matière de cybersécurité. Mais la conséquence est qu’il y a souvent trop d’acteurs impliqués, un avis que partagent les principaux fournisseurs de solutions de cybersécurité.

Dans le cas de grandes entreprises, on peut facilement dénombrer jusqu’à 80 ou 90 fournisseurs différents. Chacun prétendra être impliquée dans un aspect ou un autre de la cybersécurité. Privilégier une gestion distincte de chacun de ces fournisseurs et des vulnérabilités spécifiques que ces derniers adressent, risque de mener les responsables de la sécurité de l’information (RSSI) à suspendre la planification et les stratégies de sécurité à long terme, pour consacrer leur temps et les ressources critiques en personnel à combattre les derniers malwares, piratages et autres crises.

A contrario, les pirates informatiques sont concentrés sur la planification de leur prochaine attaque, s’efforcent de trouver la prochaine vulnérabilité – et non la dernière, et bien entendu, ils ont une stratégie !

Comment les entreprises se préparent-elles pour combattre ces nouvelles attaques ?

Dans l’idéal, elles veulent que la sécurité soit intégrée partout et constamment. Mais comment y parvenir sans collaborer avec toujours plus de fournisseurs, qu’elles devront gérer ? Comment faire face aux éventuels risques de failles de leur protection que les hackers s’empresseront d’exploiter ?

Pour y répondre, une approche par le réseau constitue une étape cruciale. Car le réseau touche tous les actifs de l’entreprise, d’une architecture informatique hybride à l’ensemble des utilisateurs, partenaires et clients. Un réseau inattaquable est le fondement de la sécurité d’entreprise dans un monde hautement connecté.

Opter pour une organisation « network first » a un impact sur toutes les décisions liées à la sécurité. Il est alors possible de l’intégrer aux fondements du réseau, comme le font les fournisseurs de réseaux globaux.

Les fournisseurs de réseaux globaux sont chargés de protéger les services publics qui circulent sur leur réseau, y compris internet lui-même. Ils ont donc développé une grande expertise en matière de protection des réseaux afin de sécuriser leur propre activité.

Certains de ces fournisseurs surveillent constamment le trafic Internet, les botnets, les serveurs de domaine utilisés par les attaquants potentiels et d’autres menaces actuelles et émergentes à l’échelle globale, et mettent en place des stratégies d’attaque et de défense.

Network first

Cette technologie et cette expertise en cybersécurité sont déjà intégrées au réseau.

En s’associant à ce type de fournisseur de services de sécurité managés (MSSP), les entreprises ont accès aux outils et à l’expertise que ces derniers utilisent pour se protéger. Des ressources qui leur permettent d’adapter des services à valeur ajoutée basé sur un réseau intégré pour répondre aux besoins spécifiques des entreprises en matière de cybersécurité.

S’appuyer sur un MSSP ne signifie pas qu’elles ne peuvent pas profiter de l’expertise d’une petite structure, qui travaille sur la meilleure protection possible contre un type d’exploitation très particulier. Cela induit surtout la possibilité de concentrer les ressources de l’entreprise sur son cœur de métier pendant que les experts en cybersécurité du MSSP évalue cette solution spécifique et l’intègre dans un cadre prédéfini.

Les stratégies globales « network first » impliquant un fournisseur de services de sécurité managés vont de pair avec une évolution du rôle du RSSI. Celui-ci passe d’une position de veilleur à une position plus proactive concentrée sur les futures attaques et la mise en place d’une véritable stratégie de défense en matière de cybersécurité. Voilà ce que signifie vraiment prendre la cybersécurité « très au sérieux  ».  

Par Alain Khau, Spécialiste Cybersécurité EMEA, CenturyLink
Android, Chiffrement, Communiqué de presse, Cybersécurité, ID, Identité numérique, IOT, Logiciels, Mise à jour, Patch, Sécurité, Securite informatique, Smartphone, Téléphonie

Vulnérabilité dans les applications Xiaomi

Les smartphones sont généralement fournis avec des applications préinstallées, dont certaines sont utiles et d’autres ne sont jamais utilisées. Un utilisateur ne s’attend toutefois pas à ce qu’une application préinstallée soit réellement dommageable pour sa vie privée et sa sécurité.

Check Point Research a récemment découvert une vulnérabilité dans l’une des applications préinstallées de Xiaomi, l’un des plus importants fabricants de téléphones mobiles au monde, qui avec près de 8 % de parts de marché en 2018, se classe troisième sur le marché de la téléphonie mobile. Ironiquement, l’application de sécurité préinstallée « Guard Provider », qui est censée protéger les téléphones contre les logiciels malveillants, expose les utilisateurs à des attaques.

En raison de la nature non sécurisée du trafic réseau entre Guard Provider et les différents SDK utilisés par l’application, un pirate pourrait se connecter au même réseau wifi que la victime et déclencher une attaque de type Man-in-the-Middle. Des failles dans les communications entre les différents SDK permettraient au pirate d’injecter n’importe quel logiciel malveillant de son choix, par exemple pour dérober des mots de passe ou surveiller les activités de l’utilisateur, un logiciel rançonneur ou tout autre type de logiciel malveillant. Pour plus de détails techniques, veuillez consulter Check Point Research.

Comme toutes les applications préinstallées telles que Guard Provider, ce type d’application est présent sur tous les appareils mobiles et ne peut être supprimé. Conformément à sa politique de communication responsable, Check Point a notifié Xiaomi, qui a publié un correctif peu de temps après.

Les avantages et les inconvénients des SDK

 Un kit de développement logiciel (SDK) est un ensemble d’outils de programmation permettant aux développeurs de créer des applications pour une plate-forme spécifique. Dans le cas des appareils mobiles, les SDK mobiles permettent aux développeurs de gagner du temps en leur évitant d’avoir « à réinventer la roue » et d’améliorer la stabilité du back-end pour les fonctionnalités qui ne sont pas liées au cœur de leur application.

À mesure que le développement de SDK s’accroit, de nouvelles opportunités d’apporter de meilleures fonctionnalités à leurs utilisateurs se présentent aux développeurs d’applications.

Mais lorsque de plus en plus de codes tiers s’ajoutent à une application, les efforts pour maintenir la stabilité de son environnement de production, protéger les données des utilisateurs et contrôler les performances, deviennent beaucoup plus complexes.

SDK fatigue

On emploie le terme « d’usure par SDK » (de l’anglais « SDK fatigue ») pour décrire cette utilisation accrue de plusieurs SDK au sein de la même application, qui rend l’application plus vulnérable à des problèmes de plantage, de virus, de logiciels malveillants, de failles de confidentialité, de consommation d’énergie, de ralentissement et bien d’autres problèmes.

Les inconvénients cachés de l’utilisation de plusieurs SDK au sein d’une même application résident dans le fait qu’ils partagent tous le contexte et les autorisations de l’application. Ces principaux inconvénients sont :

  1. Un problème dans un SDK compromettant la protection de tous les autres.
  2. Les données de stockage privées d’un SDK ne peuvent pas être isolées et sont donc accessibles à un autre SDK.

Selon un rapport récent, l’utilisation de plusieurs SDK dans une seule application est beaucoup plus courante qu’on ne le pense. Plus de 18 SDK sont implémentés en moyenne dans la même application. Ce faisant, les développeurs exposent les entreprises et les utilisateurs à des dangers potentiels qui peuvent être exploités par les pirates pour perturber le fonctionnement normal des appareils.

2 + 2 n’est pas toujours = à 4

Le personnel de sécurité informatique d’une entreprise n’est pas censé connaître les tenants et les aboutissants des kits de développement logiciel (SDK) utilisés pour créer les applications que les employés installent éventuellement sur leurs appareils. Il est cependant important de savoir que la façon dont les applications sont développées peut comporter des risques pour la sécurité. On pourrait supposer que les éléments utilisés dans une application de sécurité sont sécurisés, mais comme le montre la vulnérabilité dans les applications préinstallées de Xiaomi, c’est loin d’être le cas.

Les développeurs et les entreprises doivent également comprendre qu’un élément sécurisé associé à un autre élément sécurisé dans une application sur un téléphone ne signifie pas nécessairement que l’ensemble restera sécurisé lorsque ces deux éléments seront mis en œuvre conjointement.

La seule défense contre ces menaces cachées et obscures consiste à garantir que le parc d’appareils mobiles de votre entreprise est protégé contre les attaques de type Man-in-the-Middle.