À travers la Network Resilience Coalition, les piliers de l'industrie des réseaux veulent aider les entreprises, les fournisseurs de services et les opérateurs de télécommunications à lutter contre les ennemis cyber. L’objectif de cette coalition qui comprend AT&T, Broadcom, BT Group, Cisco, Fortinet, Intel, Juniper Networks, Lumen Technologies, Palo Alto Networks, Verizon et VMware, est de proposer des techniques ouvertes et collaboratives afin d'améliorer la sécurité du matériel et des logiciels réseau dans l'ensemble de l'industrie. La coalition a été réunie sous l'égide du Center for Cybersecurity Policy & Law, une organisation à but non lucratif qui se consacre à l'amélioration de la sécurité des réseaux, des appareils et des infrastructures critiques. Déjà engagée dans une vaste mission de sécurité, l’organisation souhaite que le groupe Resilience se concentre pour l'instant sur les routeurs, les commutateurs et les pare-feux les plus anciens, ceux qui ne bénéficient peut-être plus de support, qui n’ont pas reçu de correctifs de sécurité par négligence ou ceux en fin de vie qui n’ont pas été remplacés.
« Aujourd’hui, les acteurs malveillants, y compris les États-nations et les groupes criminels, arrivent trop facilement à trouver des vulnérabilités, à exécuter des codes à distance et à trouver des produits en fin de vie qui ne sont plus entretenus », a déclaré Éric Goldstein, directeur exécutif adjoint pour la cybersécurité de l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA). Ces produits peuvent offrir « un accès facile aux réseaux critiques qu’ils cherchent à atteindre. C’est table ouverte, pourrait-on dire ! », a déclaré M. Goldstein. « Nous voulons trouver un moyen de faciliter et de simplifier la mise à niveau vers les versions prises en charge et de réduire la fréquence de ces vulnérabilités que nos adversaires exploitent à grande échelle », a ajouté M. Goldstein.
Une recherche permanente
« La Network Resilience Coalition passera les prochains mois à rechercher et à inventorier les principaux problèmes que ses membres constatent dans l'ensemble du secteur, puis, d'ici à la fin de l'année, elle précisera ses domaines d'intervention », a indiqué le groupe. « Le groupe se consacrera en priorité à trouver des méthodes adaptées à tous les secteurs industriels pour relever les défis auxquels sont confrontées les entreprises en matière de mise à jour de logiciels et de matériel, mais aussi d'application régulière de correctifs, tout en encourageant les entreprises à améliorer la visibilité de leurs réseaux afin de mieux atténuer les cyber-risques », a encore déclaré le groupe.
« L'un des objectifs de la coalition est de discuter de cas d’usages nuancés pour comprendre ce que les fournisseurs peuvent changer », a déclaré Brad Arkin, vice-président senior et responsable de la sécurité et de la confiance chez Cisco Security. « Nous déployons beaucoup d'efforts pour atténuer les problèmes, mais cela ne donne pas les résultats dont nous avons besoin », a encore déclaré M. Arkin. « Des attaques parviennent toujours à exploiter avec succès des vulnérabilités pour lesquelles il existe des correctifs qui ne sont pas appliqués, ou résultant de mauvaises configurations. Parfois, certains clients ne sont pas en mesure d'appliquer les correctifs en temps voulu pour des raisons liées à leur contexte opérationnel. Parfois, il n'est pas aussi facile de gérer ces dispositifs. Prévenir de la disponibilité d’un correctif ne met pas fin au problème. Il est résolu quand le dispositif est corrigé ou s’il est retiré du réseau parce qu’il est en fin de vie », a déclaré Derrick Scholl, directeur de la réponse aux incidents de sécurité chez Juniper, qui se réjouit de l'occasion qui lui est donnée « d'améliorer l'éducation et les connaissances sur ce sujet ».
Des failles difficiles à corriger en production
La gestion des vulnérabilités est un défi permanent pour les grandes entreprises. Un rapport récent sur l'état de la gestion des vulnérabilités dans le DevSecOps a révélé que plus de la moitié des 634 praticiens de l’IT et de la sécurité informatique avaient plus de 100 000 vulnérabilités en attente de traitement. En outre, 54 % d'entre eux ont déclaré pouvoir corriger moins de 50 % de ces vulnérabilités, et la plupart des personnes interrogées (78 %) ont déclaré qu’il leur fallait plus de trois semaines pour corriger les vulnérabilités à haut risque dans leur environnement. Pour tenter de résorber ces énormes retards, des efforts coûteux et chronophages sont déployés, tant du côté de la production que du côté du développement des applications logicielles.
Selon une enquête menée par le Ponemon Institue et sponsorisée par Rezilion, 77 % des personnes interrogées déclarent qu'il faut plus de 21 minutes pour détecter, hiérarchiser et remédier à une seule vulnérabilité en production. Les principales raisons invoquées pour expliquer le défaut de résolution des problèmes sont l'incapacité à établir des priorités (47 %), le manque d'outils efficaces (43 %), le manque de ressources (38 %) et le manque d'informations sur les risques susceptibles d'exploiter les vulnérabilités (45 %). Et en cas de violation, le coût pour les entreprises augmente aussi. Selon le rapport annuel d'IBM Security sur le coût d'une violation de données « Cost of a Data Breach », le coût moyen mondial d'une violation de données a atteint 4,45 millions de dollars en 2023, soit une augmentation de 15 % au cours des trois dernières années. Au cours de cette même période, les coûts de détection et d'escalade ont bondi de 42 %. « Outre qu’elle représente la part la plus élevée des coûts de violation, cette augmentation montre aussi que les enquêtes sur les violations sont beaucoup plus complexes », a déclaré IBM.