Les statistiques sont parfois plus éloquentes que des mots, notamment en matière de cybersécurité. La société Positive Technologie a mené une étude originale sur ses projets de pentest pour des entreprises et en a tiré quelques enseignements. Le plus frappant est la facilité avec laquelle les pentesteurs peuvent entrer dans le réseau local de l’entreprise ciblée. En moyenne, il faut 4 jours pour y pénétrer, mais dans un cas, seulement 30 minutes ont suffi. La durée maximum s’établit à 10 jours.
En tous cas, peu de sociétés en réchappent puisque le taux de réussite est de 93%. Les pentesters avouent que dans la majorité des cas, ils ont trouvé plusieurs portes d’entrée dans le réseau interne. Pour une entreprise, pas moins de 13 vecteurs de pénétration ont été recensés. Dans 68% de cas, il y a seulement eu besoin de 2 étapes pour accéder au réseau. Par ailleurs, dans leurs investigations, les pentesteurs ont trouvé des traces de piratage antérieur (lien malveillant sur des sites officiels, des identifiants, des Web shell sur le périmètre réseau).
Haro sur les applications web
Sur les vecteurs les plus utilisés, la faible sécurité des applications web ressort en tête dans 77% des cas. La force brute avec des identifiants constitue un autre vecteur privilégié par les pentesteurs avec des rebonds sur le gestionnaire de bases de données ou les solutions d’accès à distance pour ouvrir les portes du réseau interne.
Un ensemble de statistiques qui apporte matière à réflexion à la fois pour les RSSI, mais aussi pour les dirigeants d’entreprises. Tout le monde est vulnérable, mais peut se protéger. Ce qui chagrine Positive Technologies dans son étude, c’est que « même un hacker non qualifié peut pénétrer dans l'infrastructure de la plupart des entreprises testées, car de nombreux vecteurs d'attaque impliquent l'exploitation de failles de sécurité connues ». Elle rappelle donc des recommandations basiques comme la mise à jour des OS et des applications ou la mise en place d’un WAF.
Commentaire