Selon une étude publiée la semaine dernière par Titiana, une entreprise spécialisée dans la sécurité et la conformité des réseaux, les erreurs de configuration des réseaux coûtent aux entreprises 9 % en moyenne de leur chiffre d'affaires annuel. Basée sur une enquête menée auprès de 160 responsables de la cybersécurité de divers secteurs verticaux gouvernementaux et industriels, l’étude met également en garde contre les configurations erronées qui rendent les entreprises vulnérables aux cyberattaques et peuvent perdurer sur les réseaux pendant des mois, voire des années, du fait de la rareté des audits réalisés sur les appareils connectés. « Les réseaux peuvent subir des changements tous les jours, le plus souvent dans le cadre d'une activité planifiée, ce qui entraîne une dérive de la configuration », a expliqué Phil Lewis, CEO de Titania. « Étant donné que les pare-feux, les routeurs et les commutateurs sont au cœur de la sécurité de tous les réseaux, les entreprises devraient vérifier tous leurs équipements régulièrement - quotidiennement, dans l’idéal - pour détecter les erreurs de configuration, accidentelles ou délibérées, qui pourraient entraîner des risques de sécurité critiques », a ajouté le CEO. « 4% des entreprises seulement évaluent tous leurs dispositifs réseau en vérifiant leurs dispositifs de commutation et de routage, et leurs pare-feux. Cette situation problématique résulte probablement d'un manque de capacité d'automatisation précise », a encore déclaré M. Lewis.
Atténuer les risques liés aux périphériques réseau, une priorité
L'étude a également révélé que les entreprises ont du mal à hiérarchiser l'atténuation des risques au niveau des périphériques réseau. En effet, 70 % d'entre elles ont déclaré avoir des difficultés à hiérarchiser les mesures correctives en fonction des risques. Elles pensent par ailleurs que le manque de capacité d’automatisation précise est l'un des principaux défis à relever pour répondre aux exigences de sécurité et de conformité. « Les outils utilisés actuellement par de nombreuses entreprises pour automatiser la détection des vulnérabilités ne parviennent pas à rendre plus efficace le processus quotidien de vérification de la sécurité du réseau », a encore expliqué le CEO de Titiana. « Il s'agit souvent d'un échantillonnage. Si bien qu’au final, les réseaux sont exposés à des risques non détectés et potentiellement critiques causés par la dérive des configurations ».
Des erreurs récurrentes dans le paramétrage des routeurs
Les entreprises ne sont pas très à l’aise avec les erreurs de configuration du réseau. « Il est très facile de « casser » des applications web et des services fonctionnels quand on modifie la configuration du réseau pour remédier aux menaces », a expliqué Michael Assraf, CEO et cofondateur de Vicarius, une entreprise de remédiation des vulnérabilités. « Les équipements réseau fonctionnent généralement avec des versions anciennes et légères de Linux, qui ne reçoivent pas de mises à jour générales du noyau à moins que le fournisseur du matériel ne publie une mise à niveau. La prise d'un instantané et la récupération d'une mauvaise configuration se font également manuellement et nécessitent une expertise spécifique », a ajouté M. Assraf. Les architectures réseau archaïques, qui dépendent des pare-feux pour protéger les périphériques réseau des compromissions, peuvent aussi contribuer aux risques qu'ils présentent pour les entreprises. « Il y a beaucoup de choses que les administrateurs peuvent faire par erreur avec les paramètres du routeur qui pourraient contourner accidentellement le pare-feu de l’entreprise », a déclaré Corey Nachreiner, responsable de la sécurité de WatchGuard Technologies, une entreprise spécialisée dans les technologies de la cybersécurité. « J'ai vu des administrateurs utiliser les multiples interfaces d'un routeur pour connecter par inadvertance une deuxième interface directement à leur réseau, en contournant le pare-feu par la même occasion », a ajouté le M. Nachreiner. « Certains commutateurs disposent également de canaux de gestion à distance alternatifs qui peuvent se situer en dehors du pare-feu et du routeur de passerelle », a poursuivi le responsable de la sécurité. « Il est donc tout aussi important de s'assurer que ces fonctionnalités ne sont pas mal configurées et qu'elles n'exposent pas les commutateurs du réseau interne de l’entreprise au monde entier », a ajouté M. Nachreiner.
Les commutateurs et routeurs, souvent négligés
Le rapport révèle aussi que les routeurs et les commutateurs sont largement laissés de côté. La plupart des entreprises (96%) donnent la priorité à la configuration et à l'audit des pare-feux, mais seulement 4% se préoccupent d’inclure les commutateurs et les routeurs, ainsi que les pare-feux. « Les routeurs commerciaux et les équipements réseau fonctionnent avec des protocoles de sécurité solides, des caractéristiques particulièrement mises en avant dans les campagnes de publicité », a déclaré Ray Steen, responsable de la sécurité de MainSpring, un fournisseur de services IT managés. « Les administrateurs réseau font confiance à cette sécurité, sauf que, quelle que soit la sécurité du protocole, si le produit contient un code vulnérable, c’est comme si on avait une porte en acier de trois pouces pour protéger une boîte en carton : les acteurs malveillants ont juste à casser la boîte », a ajouté M. Steen. « Les gens accordent plus d'attention à l'informatique personnelle et aux serveurs parce que c’est facile de les protéger », a déclaré pour sa part Carmit Yadin, fondateur et CEO de DeviceTotal, éditeur d'une plateforme de gestion des risques pour les appareils non administrables. « Ils sont intuitifs, alors que les appareils IoT et réseau sont des boîtes noires que les clients achètent et branchent sur le réseau, sans avoir de client ou d'agent à installer. Ils sont donc moins intuitifs ».
Commentaire