Les actifs informatiques en fin de vie exposent potentiellement les entreprises à des failles connues mais non corrigées. Et il ne faut pas croire qu'elles sont inexistantes : selon une analyse de données brutes agrégées à partir de la visibilité d'1,2 million d'actifs informatiques (serveurs, postes, terminaux...) de ses clients et prospects, Sevco estime qu'ils représentent 6 % de l'ensemble des actifs IT. L'étude du fournisseur en solutions d'analyses des risques cybersécurité a également indiqué que 28 % de tous les actifs IT ne sont pas soumis au moins à un contrôle critique à savoir de protection des endpoints ou de gestion des correctifs. Des experts tiers ont déclaré que les problèmes posés par les logiciels obsolètes et les systèmes informatiques fantômes, c’est-à-dire des technologies non approuvées, utilisées par les employés en dehors de toute administration ou de tout contrôle par le département informatique, sont de plus en plus nombreux.
« Le volume et la disponibilité d'appareils non standard, non gérés, exposés à Internet et configurés par des utilisateurs qui ne se préoccupent pas de la sécurité augmentent de façon exponentielle », a déclaré Rik Ferguson, vice-président de l'activité analyse avancée de la sécurité chez Forescout. « Souvent, ces terminaux ne sont pas aussi bien sécurisés ou aussi visibles que le parc IT traditionnel et ils restent donc particulièrement vulnérables. » Le mois dernier, un acteur malveillant a tenté de vendre un accès à l’entreprise de sécurité dans le cloud Zscaler. Suite à une enquête, ce fournisseur a découvert qu’un serveur de test n'était pas hébergé dans son infrastructure principale. Dans l'attaque Okta de 2023, rendue possible du fait de l'utilisation de systèmes IT non autorisés, des identifiants de l'entreprise avaient été sauvegardés sur un compte Google personnel avant l’infection d’un ordinateur portable professionnel par un logiciel malveillant. Ces évènements montrent comment le shadow IT peut conduire à des accès non autorisés et à des violations potentielles de données.
Une fin de vie à risque pour les logiciels
Les logiciels obsolètes présentent des risques importants car ils augmentent la surface d'attaque et rendent les entreprises plus vulnérables aux exploits. Par exemple, une version obsolète de JavaScript a contribué à une violation très médiatisée contre British Airways en 2018. Le risque posé par les systèmes Windows XP obsolètes dans les hôpitaux britanniques, et ailleurs, a été révélé par le tristement célèbre logiciel malveillant Wannacry en 2017. Les actifs informatiques considérés en fin de vie (End of Life, EOL) par les fournisseurs ne bénéficient plus de mises à jour logicielles régulières ou de correctifs de sécurité dans le cadre des contrats de maintenance standard, même si certains fournisseurs proposent une assistance étendue payante. Par exemple, pour bénéficier de trois ans de mises à jour de sécurité étendues après octobre 2025, date de la fin de support de l’OS, il faut débourser 427 $ pour un seul PC Windows 10, soit un peu moins que les 490 $ demandés par Microsoft pour recevoir des correctifs pour Windows 7 jusqu'en 2023. Même si les entreprises peuvent bénéficier de prix plus avantageux, il n'est pas surprenant que certaines organisations à court d'argent décident de prendre le risque de se passer de ces mises à jour
Selon Javvad Malik, responsable de la sensibilisation à la sécurité chez KnowBe4, « le risque le plus important lié aux logiciels obsolètes se situe dans les secteurs qui n'ont jamais été connectés à Internet, par exemple les hôpitaux ou les infrastructures critiques, souvent équipés de logiciels obsolètes ». Ilia Kolochenko, CEO d'ImmuniWeb, affirme que les problèmes de l'informatique fantôme et des logiciels obsolètes sont « profondément liés ». « Pour lutter contre les risques du shadow IT, les entreprises doivent maintenir et mettre à jour en permanence un inventaire complet de tous leurs systèmes, logiciels, utilisateurs, comptes, données et tiers qui ont accès aux données de l'entreprise », a déclaré Ilia Kolochenko. Comme l'a montré l'étude de Sevco, même les systèmes IT officiellement approuvés ne sont pas toujours tenus à jour, tout comme ceux qui ne disposent pas d'un système approprié de gestion des correctifs. Par exemple, c'est une version non corrigée, mais éminemment corrigible, d'Apache Struts qui a permis le grand vol de données d'Equifax en 2017.
Une réponse humaine, pas seulement technologique
Les experts s'accordent pour dire que les entreprises doivent procéder à des audits et à des évaluations des risques approfondis. Les meilleures défenses impliquent une gestion rigoureuse de la configuration, un suivi de la nomenclature des logiciels, une sensibilisation à la sécurité et une limitation de ce qui peut être installé. « Il est essentiel de bien connaître sa surface d'attaque et de réaliser régulièrement des exercices de cartographie des actifs externes », a expliqué Tim West, directeur de la veille sur les menaces chez With Secure. « Il est important de comprendre que la réponse n'est pas uniquement technologique. Il y a un élément humain derrière le shadow IT et les raisons pour lesquelles elle existe. La formation et la garantie que les processus existants répondent aux besoins du personnel sont tout aussi essentielles », a-t-il poursuivi. « Même des développeurs de logiciels expérimentés peuvent oublier un conteneur qu’ils ont déployé dans un cloud avec des données de production, pour expérimenter de nouvelles fonctionnalités, et ne parlons pas des utilisateurs non techniciens qui utilisent leurs ordinateurs personnels ou leurs appareils mobiles pour des tâches professionnelles », a rappelé Ilia Kolochenko.
Commentaire